-
Kris Marszale, CEO de Crypto.com, aseguró que divulgó el incidente con reguladores pertinentes.
-
No obstante, el exchange no habría realizado una divulgación pública de la vulnerabilidad.
De acuerdo con ZachXBT, un investigador en cadena, el exchange Crypto.com encubrió un ataque que ocasionó la filtración de datos de usuarios. Dicho ataque habría sucedido en 2022 por parte de algunos miembros de Scattered Spider, un grupo de hackers que obtuvo acceso a las credenciales de un empleado del exchange. De acuerdo con Kris Marszale, CEO de Crypto.com, la acusación de ZachXBT es «completamente infundada».
ZachXBT, un investigador conocido por ayudar a seguir los fondos robados por el grupo Lazarus de Corea del Norte y por reprochar a Ripple por «tumbar el precio de XRP«, acusó al exchange de no revelar responsablemente la filtración de la base de datos y a Kris Masrzale de bloquearlo cuando le pidió rendir cuentas.
Dicho investigador citó una historia de Bloomberg que confirma que Scattered Spider violó la base de datos de Crypto.com en 2022. Por lo tanto, esperó hallar un comunicado de blog anunciando el hecho públicamente frente a la comunidad de usuarios, pero no lo encontró.
Posteriormente, aseguró que Kris Marszale lo bloqueó, y dedicó un post donde pidió al CEO compartir un enlace a la divulgación de la vulnerabilidad en cuestión.
«Sería fácil para ellos demostrar que estoy equivocado. Si los incidentes se revelaran públicamente a la comunidad, simplemente podrían compartir la URL de la divulgación. También me disculparía públicamente con ellos. Pregúntese por qué una búsqueda de artículos de noticias y plataformas de violación de datos sobre filtraciones de datos de usuarios no arroja resultados», comentó el detective independiente.
La respuesta del CEO del exchange al revuelo asegura que los hackers no accedieron a los fondos de sus usuarios y que el daño ocasionado fue muy limitado.
Quiero abordar de manera directa y clara cierta información errónea que se difunde desde fuentes desinformadas… Cualquier sugerencia de que no informamos o divulgamos un incidente de seguridad es completamente infundada: como informamos en un Aviso de incidente de seguridad de datos de NMLS y en informes adicionales con los reguladores jurisdiccionales pertinentes, detectamos una campaña de phishing dirigida a uno de nuestros empleados en 2023. El incidente se contuvo en cuestión de horas, no se accedió a los fondos de los clientes ni estuvieron en riesgo y afectó a un número extremadamente limitado de información personal identificable parcial de nuestros usuarios.
Kris Marszale, CEO de Crypto.com
Si bien el CEO de Crypto.com confirma haber reportado el incidente a los reguladores pertinentes, ZachXBT y otros usuarios en la red social X reclaman que esto no fue suficiente, y que fue preciso revelar la vulnerabilidad a los usuarios de la plataforma.
