執行摘要

Crypto.com 證實 2023 年發生了一起數據洩露事件,與臭名昭著的 Scattered Spider 駭客組織有關,特別是涉及 Noah Urban,該事件導致少數個人用戶的有限個人身份資訊 (PII) 被曝光。這家加密貨幣交易所堅稱,在事件發生期間,客戶資金沒有被訪問或面臨風險,並稱該事件在檢測到後的數小時內就得到了控制。

事件詳情

此次確認的事件源於 2023 年針對 Crypto.com 員工的一次複雜的網路釣魚攻擊,該攻擊使得未經授權的人員能夠訪問公司系統。此次攻擊被歸因於 Scattered Spider,這是一個以社會工程策略而非傳統惡意軟體聞名的組織。區塊鏈調查員 ZachXBT 公開批評 Crypto.com,稱其掩蓋了此次洩露事件。作為回應,包括執行長 Kris Marszalek 在內的 Crypto.com 官員表示,該公司已向美國全國多州許可系統 (NMLS) 提交了「數據安全事件通知」,並向「相關司法管轄區監管機構」提交了「額外報告」。他們堅稱任何關於未披露資訊的說法都是毫無根據的。此次洩露事件涉及有限的 PII 數據,影響了「極少數個人」。消息來源表明,Scattered Spider 通過其成員(如 Noah Urban)利用社會工程學,並可能利用了聯合包裹服務 (UPS) 等系統,獲取個人數據並獲取憑證,這符合影響 200 多家公司的更廣泛攻擊模式。

市場影響和安全態勢

Crypto.com 數據洩露事件凸顯了數位資產行業面臨的持續網路安全挑戰,特別是對複雜社會工程攻擊的脆弱性。雖然 Crypto.com 強調客戶資金保持安全,但 PII 的暴露帶來了潛在的網路釣魚攻擊、身份盜竊或針對受影響用戶的魚叉式網路釣魚詐騙等風險。此次事件可能會促使人們加大對 Crypto.com 安全協議及其在安全事件期間溝通實踐的審查。對於更廣泛的 Web3 生態系統而言,它提醒人們,健全的安全措施,以及透明和及時的披露,對於維護用戶信任和促進更廣泛的採用至關重要。此類事件強調了持續警惕不斷演變的威脅載體的必要性,這些威脅載體不僅限於技術漏洞,還包括組織內部的人為因素。市場影響雖然在此次事件中沒有直接影響加密資產價格,但關係到投資者和用戶對中心化交易所及其保護敏感個人數據能力的信心。

更廣泛的背景:Scattered Spider 的作案手法

Noah Urban 在其活動時年僅 18 歲,是 Scattered Spider 的關鍵人物,該組織已從簡單的 SIM 卡交換轉向複雜的公司滲透。他的方法涉及透過社會工程操縱員工,有時利用從其他洩露事件中竊取數據,例如之前對 Twilio 的滲透,該滲透提供了對 209 家公司客戶驗證碼的訪問權限。Urban 更廣泛的犯罪活動涉及多家公司,估計總損失高達 2500 萬美元。他承認犯有電信詐欺和嚴重身份盜竊罪,被判處 10 年監禁,並被勒令賠償 1300 萬美元,其中 480 萬美元的加密貨幣已被扣押。此案表明,網路犯罪分子利用人為漏洞繞過技術防禦的趨勢日益增長,這表明有效的網路安全策略必須同時包含技術防護措施和針對社會工程策略的全面員工培訓。