Kraken rejette une tentative d'extorsion criminelle après qu'un accès interne inapproprié a exposé les données d'environ 2 000 comptes, mais affirme qu'il n'y a pas eu de violation systémique ni de risque pour les fonds des clients.
Résumé
- Kraken déclare faire l'objet d'une extorsion par un groupe criminel menaçant de divulguer des vidéos d'accès au système interne, mais insiste sur le fait qu'il n'y a eu aucune violation systémique et aucun risque pour les fonds des clients.
- La plateforme d'échange lie l'incident à un accès inapproprié par des personnes liées à son équipe de support client, qui a touché les données d'environ 2 000 comptes, soit environ 0,02 % des utilisateurs.
- Le responsable de la sécurité Nick Percoco indique que Kraken a coupé l'accès, notifié les utilisateurs concernés et travaille avec les forces de l'ordre alors que les attaques par « infiltration interne + ingénierie sociale » augmentent.
La plateforme d'échange de crypto-monnaies Kraken affirme être victime d'un chantage de la part d'une organisation criminelle qui prétend posséder des vidéos montrant l'accès aux systèmes internes de l'entreprise, mais s'est engagée à ne payer aucune rançon et maintient que les fonds des clients restent en sécurité. Dans une déclaration citée par CoinDesk, la plateforme a souligné qu'il n'y avait eu « aucune violation systémique » de son infrastructure de trading ou de ses portefeuilles, décrivant l'incident comme un abus ciblé d'accès interne plutôt qu'un piratage réussi des systèmes centraux.
Kraken a déclaré que l'épisode découle d'un accès inapproprié par des individus liés à ses opérations de service client lors de deux incidents distincts, qui ont ensemble exposé des données limitées sur environ 2 000 comptes, soit environ 0,02 % de sa base d'utilisateurs totale. Ces utilisateurs ont été notifiés, a ajouté la plateforme, tandis que les personnes impliquées ont vu leurs identifiants révoqués et ont été coupées des outils internes alors que Kraken renforce la surveillance et les contrôles d'accès.
Le responsable de la sécurité Nick Percoco, qui avait précédemment qualifié une exploitation distincte de 3 millions de dollars des systèmes de Kraken de « pas de hacking white hat, mais d'extorsion », a déclaré que l'entreprise traite à nouveau les nouvelles menaces comme une affaire criminelle et coopère avec les forces de l'ordre. Il a déclaré aux journalistes que Kraken estime disposer de preuves suffisantes « pour identifier et aider à arrêter » les personnes derrière la dernière tentative d'extorsion et a réitéré que la plateforme ne négociera pas avec les acteurs tentant de monétiser l'accès interne.
Selon la description de l'entreprise, l'attaque reflète une tendance croissante d'« infiltration interne + ingénierie sociale », dans laquelle des personnes extérieures s'efforcent de compromettre ou de recruter des personnes au sein d'organisations de services afin d'obtenir un accès en lecture seule, des images de reconnaissance ou des données clients limitées plutôt que d'attaquer directement les systèmes de portefeuilles renforcés. Plus tôt cette année, une annonce sur le dark web prétendant offrir pour 1 $ l'accès au panneau de support interne de Kraken et aux données KYC a suscité des préoccupations similaires, bien que la plateforme n'ait pas confirmé de violation et que les chercheurs en sécurité aient averti que même un accès en lecture seule aux outils de support pourrait être utilisé comme arme pour le phishing et les escroqueries ciblées.
Cette nouvelle tentative d'extorsion survient après un incident distinct en mars au cours duquel un utilisateur de Kraken aurait perdu environ 7 784 ETH et 26,5 BTC — d'une valeur d'environ 18,2 millions de dollars — dans le cadre d'un système sophistiqué d'ingénierie sociale avant que les fonds ne soient transférés vers HitBTC, soulignant l'éventail des menaces auxquelles sont confrontées les plateformes et les clients. Comme l'ont noté la société d'analyse blockchain EmberCN et d'autres, même lorsque les trésors des plateformes d'échange et les portefeuilles chauds restent intacts, les défaillances des contrôles humains — de l'accès au support client à l'opsec des utilisateurs — peuvent encore se traduire par des pertes importantes et des dommages à la réputation.
Pour Kraken, cette affaire récente constitue un test de résistance de sa culture de sécurité promue depuis longtemps, qui comprend l'authentification à deux facteurs obligatoire, la prise en charge des clés matérielles et des messages publics réguliers de Percoco sur les meilleures pratiques de protection des comptes. Pour l'ensemble du secteur, c'est un autre rappel que dans un marché où un seul identifiant compromis peut faire miroiter des millions de dollars aux attaquants, les plus grands risques se situent souvent à l'intersection de l'accès interne, de l'erreur humaine et de l'extorsion à l'ancienne — et pas seulement dans le code zero‑day.
Source : https://crypto.news/kraken-refuses-ransom-after-internal-extortion-attempt-hits-2000-accounts/
