Kraken odmawia zapłacenia okupu po wewnętrznej próbie wymuszenia dotyczącej 2000 kont

Kraken odrzuca próbę kryminalnego wymuszenia po tym, jak niewłaściwy dostęp wewnętrzny ujawnił dane około 2000 kont, ale twierdzi, że nie ma systemowego naruszenia ani ryzyka dla środków klientów.

Giełda kryptowalut Kraken twierdzi, że jest szantażowana przez organizację przestępczą, która twierdzi, że posiada filmy pokazujące dostęp do systemów wewnętrznych firmy, ale zobowiązała się nie płacić żadnego okupu i utrzymuje, że środki klientów pozostają bezpieczne. W oświadczeniu cytowanym przez CoinDesk platforma podkreśliła, że nie doszło do "systemowego naruszenia" jej infrastruktury handlowej ani portfeli, opisując incydent jako celowe nadużycie dostępu wewnętrznego, a nie udany atak na systemy podstawowe.

Kraken poinformował, że incydent wynika z niewłaściwego dostępu osób powiązanych z jego działem obsługi klienta w dwóch oddzielnych incydentach, które razem ujawniły ograniczone dane około 2000 kont, czyli około 0,02% całkowitej bazy użytkowników. Ci użytkownicy zostali powiadomieni, dodała giełda, podczas gdy zaangażowane osoby miały cofnięte uprawnienia i zostały odcięte od narzędzi wewnętrznych, gdy Kraken zaostrza monitorowanie i kontrolę dostępu.

Dyrektor ds. bezpieczeństwa Nick Percoco, który wcześniej nazwał oddzielny exploit systemów Kraken o wartości 3 milionów dolarów "nie hakerstwem white hat, to wymuszenie", powiedział, że firma ponownie traktuje nowe zagrożenia jako sprawę kryminalną i współpracuje z organami ścigania. Powiedział dziennikarzom, że Kraken wierzy, iż posiada wystarczające dowody "aby zidentyfikować i pomóc w aresztowaniu" osób stojących za najnowszą próbą wymuszenia i powtórzył, że platforma nie będzie negocjować z podmiotami próbującymi zarabiać na dostępie wewnętrznym.

Według opisu firmy, atak odzwierciedla rosnący wzorzec "infiltracji wewnętrznej + inżynierii społecznej", w którym osoby z zewnątrz pracują nad skompromitowaniem lub rekrutacją ludzi wewnątrz organizacji usługowych w celu uzyskania dostępu tylko do odczytu, materiałów rozpoznawczych lub ograniczonych danych klientów, zamiast bezpośredniego atakowania wzmocnionych systemów portfeli. Na początku tego roku, ogłoszenie w dark webie oferujące dostęp za 1 dolara do panelu wsparcia wewnętrznego Kraken i danych KYC wywołało podobne obawy, chociaż giełda nie potwierdziła naruszenia, a badacze bezpieczeństwa ostrzegli, że nawet dostęp tylko do odczytu do narzędzi wsparcia może być wykorzystany do phishingu i ukierunkowanych oszustw.

Nowa próba wymuszenia następuje po oddzielnym marcowym incydencie, w którym użytkownik Kraken podobno stracił około 7784 ETH i 26,5 BTC — o wartości około 18,2 miliona dolarów — w wyniku wyrafinowanego schematu inżynierii społecznej, zanim środki zostały przeniesione do HitBTC, podkreślając spektrum zagrożeń stojących przed zarówno platformami, jak i klientami. Jak zauważyła firma analityki blockchain EmberCN i inni, nawet gdy skarby giełd i gorące portfele pozostają nienaruszone, luki w kontrolach ludzkich — od dostępu do obsługi klienta po opsec użytkownika — mogą nadal przekładać się na duże straty i szkody reputacyjne.

Dla Kraken najnowszy przypadek jest testem warunków skrajnych dla długo promowanej kultury bezpieczeństwa, która obejmuje obowiązkowe uwierzytelnianie dwuskładnikowe, wsparcie kluczy sprzętowych i regularne publiczne komunikaty od Percoco na temat najlepszych praktyk ochrony konta. Dla szerszej branży jest to kolejne przypomnienie, że na rynku, gdzie pojedyncze skompromitowane dane uwierzytelniające mogą kołysać milionami dolarów przed atakującymi, największe zagrożenia często znajdują się na skrzyżowaniu dostępu wewnętrznego, błędu ludzkiego i staromodnego wymuszenia — nie tylko w kodzie zero-day.