Các đối tượng tấn công được cho là đang rao bán quyền truy cập chỉ đọc vào bảng quản trị nội bộ của Kraken trên một diễn đàn dark web.
Sự việc này làm dấy lên lo ngại về nguy cơ lộ dữ liệu người dùng cũng như rủi ro bị các cuộc tấn công phishing nhắm mục tiêu.
Bảng điều khiển admin được rao bán: cáo buộc trên dark web đặt ra nghi vấn về bảo mật của Kraken
Theo thông tin từ Dark Web Informer, bài đăng rao bán quyền truy cập với khả năng xem các hồ sơ người dùng, lịch sử giao dịch và toàn bộ giấy tờ KYC. Các giấy tờ này bao gồm CMND/hộ chiếu, ảnh “selfie”, xác minh địa chỉ và thông tin chứng minh nguồn tiền.
Người bán cho biết quyền truy cập có thể kéo dài từ 1 đến 2 tháng, truy cập qua proxy và không giới hạn địa chỉ IP, đồng thời cho phép tạo phiếu hỗ trợ (support ticket).
Bài đăng này ngay lập tức khiến nhiều chuyên gia an ninh mạng lo lắng, dù vẫn có một số người dùng trên mạng tỏ ra nghi ngờ.
“Gần như chắc chắn là giả,” một người dùng bình luận, nêu ra sự hoài nghi về tính xác thực của quyền truy cập này.
Một số người khác cảnh báo rằng nếu thật, việc lộ thông tin này có thể khiến khách hàng của Kraken gặp rủi ro lớn, kêu gọi sàn giao dịch và các cơ quan chức năng cần điều tra ngay lập tức.
“Nếu đây là sự thật, đây là một nguy cơ lộ dữ liệu lớn và có thể gây tấn công phishing cho khách hàng Kraken. Đội ngũ bảo mật và cơ quan thực thi pháp luật của Kraken cần phải vào cuộc ngay,” một người khác cho biết thêm.
Thực tế, quyền truy cập này có thể bị lợi dụng cho các cuộc tấn công lừa đảo xã hội (social engineering) rất thuyết phục. Kraken hiện vẫn chưa phản hồi yêu cầu bình luận từ BeInCrypto.
Quyền truy cập chỉ đọc không vô hại: CIFER tiết lộ rủi ro lộ thông tin trên bảng điều khiển Kraken
CIFER Security nhấn mạnh rằng quyền truy cập chỉ đọc cũng tiềm ẩn rủi ro nghiêm trọng. Dù kẻ tấn công không thể thay đổi dữ liệu tài khoản, họ vẫn có thể lợi dụng chức năng tạo ticket hỗ trợ để:
- Mạo danh nhân viên Kraken,
- Trích dẫn các thông tin giao dịch thật để tạo sự tin tưởng,
- Nhắm tới các nhà đầu tư nhỏ lẻ có giá trị cao được xác định qua lịch sử giao dịch.
Việc kẻ xấu có được toàn bộ thông tin về thói quen giao dịch, địa chỉ ví, hoạt động nạp/rút giúp chúng dễ dàng thực hiện các cuộc tấn công phishing, SIM swap hay tấn công thử mật khẩu, khiến nguy cơ không chỉ dừng lại ở việc lộ tài khoản.
Các vụ tấn công vào bảng quản trị không phải là chuyện mới trong lĩnh vực crypto. Những sàn như Mt. Gox (2014), Binance (2019), KuCoin (2020), Crypto.com (2022) và FTX (2022) đều từng bị hacker tấn công vào hệ thống nội bộ. Điều này cho thấy các công cụ tập trung, có quyền hạn lớn luôn là mục tiêu hấp dẫn của giới tội phạm mạng.
Vụ việc được cho là của Kraken cũng nằm trong bối cảnh chung này, nhấn mạnh thách thức cố hữu trong việc bảo mật các quyền truy cập đặc biệt trong ngành tài chính.
Người dùng Kraken nên làm gì?
CIFER Security khuyến nghị người dùng nên chuẩn bị tinh thần cho việc dữ liệu có thể đã bị lộ và nhanh chóng áp dụng các biện pháp bảo mật sau:
- Bật xác thực bằng khóa cứng,
- Kích hoạt khóa bảo vệ toàn cục (global settings lock),
- Chỉ cho phép rút tiền về các địa chỉ trong whitelist,
- Thận trọng tối đa khi nhận các yêu cầu hỗ trợ từ sàn.
Người dùng cũng nên chú ý nhận diện các dấu hiệu bị tấn công SIM swap, đổi mật khẩu khả nghi, và cân nhắc chuyển số tiền lớn sang ví lạnh hoặc sử dụng địa chỉ mới không nằm trong lịch sử giao dịch có thể đã bị lộ.
Sự việc này cho thấy rủi ro tiềm ẩn khi lưu ký tài sản tại sàn tập trung. Các sàn giao dịch vốn dĩ phải tập trung nhiều dữ liệu khách hàng quan trọng trên bảng quản trị, khiến hệ thống dễ rơi vào nguy cơ bị đánh sập chỉ bởi một điểm yếu.
Như CIFER chia sẻ, các hệ thống bảo mật tốt hiện nay thường dựa trên việc phân quyền truy cập theo vai trò, cấp quyền chỉ khi cần thiết, che giấu dữ liệu, ghi hình phiên truy cập và không duy trì quyền truy cập lâu dài để hạn chế phạm vi thiệt hại nếu xảy ra sự cố.
Nếu các báo cáo là chính xác, Kraken cần phải sớm xác định nguyên nhân lộ quyền truy cập: có thể là thông tin đăng nhập bị lộ, có người trong nội bộ, rủi ro từ bên cung cấp dịch vụ thứ ba hoặc do bị chiếm đoạt phiên truy cập.
Một lần nữa, nếu đây là sự thật, sàn cần thực hiện các biện pháp khẩn cấp: thay đổi toàn bộ thông tin đăng nhập admin, kiểm tra lại nhật ký truy cập và minh bạch thông báo đến người dùng.
Phản ứng nhanh chóng và minh bạch sẽ là yếu tố then chốt giúp duy trì lòng tin trong bối cảnh rủi ro từ hệ thống tập trung và lời hứa phi tập trung của thị trường crypto luôn tồn tại song song.
