Während der bekannte On-Chain-Ermittler ZachXBT behauptete, Crypto.com habe 2023 eine Sicherheitslücke vertuscht, dementierte der CEO der Börse dies. Was ist passiert?
Der CEO von Crypto.com dementiert die Behauptungen von ZachXBT
In der Nacht von Sonntag auf Montag veröffentlichte Kris Marszalek, CEO von Crypto.com, einen Tweet, um die Aussagen des On-Chain-Ermittlers ZachXBT zu dementieren, wonach die Kryptowährungsbörse versucht habe, einen Sicherheitsvorfall zu vertuschen:
Jede Andeutung, wir hätten einen Sicherheitsvorfall nicht gemeldet oder offengelegt, ist völlig unbegründet. Wie wir in einer Meldung über einen Daten-Sicherheitsvorfall an das NMLS (Nationwide Multi-State Licensing System and Registry, Anm. d. Red.) und in zusätzlichen Berichten an die zuständigen Aufsichtsbehörden angegeben haben, haben wir 2023 eine Phishing-Kampagne entdeckt, die auf einen unserer Mitarbeiter abzielte. Der Vorfall wurde innerhalb weniger Stunden unter Kontrolle gebracht, es wurden keine Kundengelder abgerufen oder gefährdet, und es waren nur sehr wenige teilweise identifizierbare personenbezogene Daten unserer Nutzer betroffen.
In diesem Fall antwortete ZachXBT ironisch auf einen gewöhnlichen Tweet von Crypto.com und zitierte dabei einen am Freitag erschienenen Artikel von Bloomberg.
In weiteren Kommentaren unter demselben Tweet argumentiert der On-Chain-Ermittler, dass die Kryptowährungsbörse in der Vergangenheit „mehrfach” mit Sicherheitslücken konfrontiert war.
Unabhängig davon, ob diese Behauptungen zutreffen oder nicht, ist es wahrscheinlich, dass Kris Marszaleks Intervention einen ähnlichen Effekt wie der Streisand-Effekt haben wird, da der von ZachXBT zitierte Bloomberg-Artikel „Crypto.com” nur zweimal erwähnt, und zwar im selben Absatz:
Zusammen, so erklärt Noah, gelang es ihnen, auf das Konto eines Mitarbeiters von Crypto.com, einer Krypto-Handelsplattform, zuzugreifen. Außerdem nutzten sie ein System von United Parcel Service Inc., um die persönlichen Daten potenzieller Opfer zu sammeln. (Ein Sprecher von Crypto.com behauptet, dass der Angriff auf seine Plattform, über den bisher in den Medien nicht berichtet wurde, Informationen betraf, die „eine sehr kleine Anzahl von Personen” betrafen, und dass kein Zugriff auf Kundengelder erfolgte. UPS gab 2023 bekannt, das Problem gelöst zu haben; das Unternehmen lehnte es ab, weitere Details für diesen Artikel zur Verfügung zu stellen.)
Um zu verstehen, worum es geht: Der betreffende Noah ist Noah Urban, ein 20-jähriger Amerikaner, der am 20. August dieses Jahres wegen seiner Beteiligung an Cyberkriminalität mit der Hackergruppe Scattered Spider zu 10 Jahren Gefängnis sowie zu 13,4 Millionen Dollar Schadenersatz für seine Opfer verurteilt wurde.
Der Betroffene, der im Januar 2024 verhaftet wurde, wurde insbesondere wegen Hacking-Vorwürfen gegen 13 Unternehmen, darunter Verizon, Riot Games, AT&T und T-Mobile, vor Gericht gestellt. Der Artikel zeichnet somit die kriminelle Laufbahn von Noah Urban nach, der auch zahlreiche SIM-Swap-Angriffe auf Besitzer von Kryptowährungen durchgeführt hat, ohne dass Crypto.com an anderer Stelle als im oben genannten Absatz erwähnt wird.
