Bloomberg की एक जांच के अनुसार, दुनिया के सबसे बड़े क्रिप्टोकरेन्सी एक्सचेंजों में से एक, Crypto.com, ने एक सुरक्षा उल्लंघन का सामना किया, जिसे उसने कभी प्रकट नहीं किया।
रिपोर्ट ने इस घटना को Scattered Spider नामक हैकिंग समूह से जोड़ा है, जो अक्सर कंपनियों को सोशल इंजीनियरिंग तकनीकों से निशाना बनाता है। यह समूह मुख्य रूप से किशोरों से बना है जो कर्मचारियों को उनके क्रेडेंशियल्स सौंपने के लिए धोखा देने में माहिर हैं।
Crypto.com पर सुरक्षा चूक को छुपाने का आरोप, आलोचना का सामना
Bloomberg के अनुसार, हमलावरों ने IT स्टाफ के रूप में प्रस्तुत होकर Crypto.com के अज्ञात कर्मचारियों को लॉगिन क्रेडेंशियल्स सौंपने के लिए मना लिया। एक बार अंदर जाने के बाद, उन्होंने वरिष्ठ स्टाफ खातों को निशाना बनाकर अपनी पहुंच बढ़ाने की कोशिश की।
Crypto.com ने Bloomberg को बताया कि इस हमले ने केवल “बहुत कम संख्या में व्यक्तियों” को प्रभावित किया और जोर दिया कि ग्राहक के फंड सुरक्षित रहे।
प्रेस समय तक, कंपनी ने इस घटना के बारे में अतिरिक्त जानकारी प्रदान नहीं की है।
इस बीच, सुरक्षा विशेषज्ञों का तर्क है कि एक्सचेंज का उल्लंघन का खुलासा न करने का निर्णय इसकी सुरक्षा प्रथाओं में विश्वास को कमजोर करता है।
वे तर्क देते हैं कि घटना के बारे में विवरण साझा करने में विफलता इसके उपयोगकर्ताओं को एक्सपोजर की सीमा के बारे में अनिश्चित और संभावित फॉलो-अप हमलों के लिए असुरक्षित छोड़ देती है।
यह चिंता महत्वपूर्ण है क्योंकि Coinbase ने पहले एक समान उल्लंघन का सामना किया था जिसने इसके ग्राहकों को सालाना $300 मिलियन से अधिक के नुकसान के लिए उजागर किया था।
ऑन-चेन अन्वेषक ZachXBT ने Crypto.com पर उल्लंघन को जानबूझकर छुपाने का आरोप लगाया। उन्होंने यह भी जोर दिया कि यह पहली बार नहीं था जब प्लेटफॉर्म को अघोषित सुरक्षा चूक से जोड़ा गया था।
उनकी टिप्पणियां उन एक्सचेंजों के बारे में व्यापक उद्योग की निराशा को दर्शाती हैं जो अपनी प्रतिष्ठा की रक्षा के लिए चुपचाप उल्लंघनों को कम करके आंकते हैं।
इस बीच, इस घटना ने उद्योग की Know Your Customer (KYC) सिस्टम पर निर्भरता की आलोचना को भी फिर से प्रज्वलित कर दिया है।
छद्म नाम वाले सुरक्षा शोधकर्ता Pcaversaccio ने इन मुद्दों पर तीखी प्रतिक्रिया दी, यह तर्क देते हुए कि KYC आवश्यकताएं हैकर्स के लिए विशाल डेटा हनीपॉट बनाती हैं।
“आप पासवर्ड को आसानी से बदल सकते हैं, लेकिन _नहीं_ अपना पासपोर्ट और वे इसे अच्छी तरह से जानते हैं। हम मूल रूप से उनके निगरानी रैकेट में गारंटी हैं,” शोधकर्ता ने कहा।
यह चिंता व्यापक उद्योग संदेह के साथ मेल खाती है जो रेग्युलेटरी ढांचे के बारे में है।
इस साल की शुरुआत में, Coinbase के CEO Brian Armstrong ने बैंक सीक्रेसी एक्ट और मौजूदा एंटी-मनी लॉन्ड्रिंग नियमों की आलोचना की, उन्हें पुराना और अप्रभावी बताया।
उन्होंने बताया कि कंपनियों को उनकी इच्छा के विरुद्ध संवेदनशील डेटा इकट्ठा करने के लिए मजबूर किया जा रहा है। उनके अनुसार, इन आवश्यकताओं से कंपनियों और ग्राहकों पर बोझ पड़ता है, लेकिन अपराध रोकने में यह बहुत कम मददगार हैं।
“हम इसे इकट्ठा नहीं करना चाहते, और हमारे ग्राहक इसे नापसंद करते हैं। हमें इसे हमारी इच्छा के विरुद्ध इकट्ठा करने के लिए मजबूर किया जा रहा है। और यह अपराध रोकने में भी प्रभावी नहीं है, अगर आप इसके पीछे के डेटा को देखें,” Armstrong ने कहा।
