Crypto.com, một nền tảng tiền điện tử lớn, được cho là đã bị tấn công bởi các thành viên của nhóm tin tặc có tên Scattered Spider.
Tuy nhiên, theo báo cáo của Bloomberg vào Chủ Nhật, vụ việc này được cho là "chưa từng được báo cáo trước đó".
Shān Zhang, giám đốc an ninh thông tin tại công ty bảo mật blockchain Slowmist, đơn vị đã kiểm tra các hợp đồng thông minh và mô-đun của nền tảng tiền điện tử vào năm 2020, cho biết với Decrypt rằng "vấn đề đã xảy ra là một vấn đề nhỏ, có thể kiểm soát nội bộ", đồng thời nói thêm rằng vấn đề này "đã được giải quyết thỏa đáng từ lâu rồi", ám chỉ đến tuyên bố của CEO Kris Marszalek của Crypto.com được đưa ra vào tối Chủ Nhật.
Marszalek tuyên bố trên X: "Bất kỳ gợi ý nào cho rằng chúng tôi không báo cáo hoặc tiết lộ sự cố bảo mật đều hoàn toàn vô căn cứ". "Chúng tôi đã báo cáo trong Thông báo về sự cố bảo mật dữ liệu của NMLS và trong các báo cáo bổ sung với các cơ quan quản lý có thẩm quyền liên quan, chúng tôi đã phát hiện ra một chiến dịch lừa đảo nhắm vào một trong những nhân viên của chúng tôi vào năm 2023".
Trả lời riêng cho Decrypt , người phát ngôn Crypto.com cho biết thêm qua email rằng sự cố "bao gồm việc tiết lộ dữ liệu PII (Thông tin nhận dạng cá nhân) hạn chế ảnh hưởng đến một số lượng rất nhỏ cá nhân", với vi phạm "được ngăn chặn trong vòng vài giờ sau khi phát hiện và không có khoản tiền nào của khách hàng bị truy cập hoặc gặp rủi ro".
Cuộc điều tra về vụ việc đã lần ra thủ phạm là Noah Urban, một thiếu niên ở Florida, người đóng vai trò là "người gọi" bên trong Scattered Spider, thuyết phục nhân viên giao nộp thông tin đăng nhập để mở khóa các hệ thống nội bộ.
Urban và đồng bọn được cho là đã truy cập vào Crypto.com bằng cách mạo danh nhân viên và sử dụng dữ liệu cá nhân bị đánh cắp, bao gồm cả hồ sơ lấy từ cơ sở dữ liệu của United Parcel Service.
Một khi đã xâm nhập được vào bên trong, nhóm này đã thu thập được thông tin nhạy cảm của người dùng. Vụ việc này là một phần của chiến dịch lớn hơn, trong đó Scattered Spider đã xâm nhập hơn 200 công ty, với các chiến thuật từ hoán đổi SIM đến các chiến dịch lừa đảo nhắm vào các nhà cung cấp dịch vụ viễn thông, studio game và nhà bán lẻ.
Urban, hiện 20 tuổi, đã bị truy tố cùng với bốn người khác vào tháng 11 năm ngoái. Hồ sơ tòa án xác nhận anh ta đã nhận tội vào tháng 4 năm nay về tội lừa đảo qua mạng và trộm cắp danh tính nghiêm trọng.
Sau đó, chính quyền đã tịch thu khoảng 4,8 triệu đô la tiền điện tử từ các thiết bị của Urban, với ước tính thiệt hại lên tới 25 triệu đô la và ra lệnh bồi thường 13 triệu đô la cho hơn 30 trong số ít nhất 59 nạn nhân trên khắp Hoa Kỳ.
Tháng trước, một Thẩm phán liên bang đã tuyên án Urban 10 năm tù giam, kèm theo hình phạt giám sát tại ngoại.
