Kraken wehrt einen kriminellen Erpressungsversuch ab, nachdem durch unzulässigen internen Zugriff Daten von etwa 2.000 Konten offengelegt wurden, erklärt jedoch, dass es keine systemische Sicherheitslücke oder ein Risiko für Kundengelder gibt.
Zusammenfassung
- Kraken erklärt, dass die Börse von einer kriminellen Gruppe erpresst wird, die droht, Videos über den Zugriff auf interne Systeme zu veröffentlichen, besteht jedoch darauf, dass es keine systemische Sicherheitslücke gab und keine Kundengelder gefährdet sind.
- Die Börse führt den Vorfall auf unzulässigen Zugriff durch Personen zurück, die mit dem Kundensupport-Team verbunden sind und Daten von etwa 2.000 Konten betroffen haben, was ungefähr 0,02% der Nutzer entspricht.
- Chief Security Officer Nick Percoco erklärt, dass Kraken den Zugriff gesperrt, betroffene Nutzer benachrichtigt hat und mit Strafverfolgungsbehörden zusammenarbeitet, während Angriffe durch "interne Infiltration + Social Engineering" zunehmen.
Die Kryptowährungsbörse Kraken erklärt, dass sie von einer kriminellen Organisation erpresst wird, die behauptet, Videos zu besitzen, die Zugriff auf die internen Systeme des Unternehmens zeigen, hat jedoch geschworen, kein Lösegeld zu zahlen, und betont, dass Kundengelder weiterhin sicher bleiben. In einer von CoinDesk zitierten Erklärung betonte die Plattform, dass es „keine systemische Sicherheitslücke" in ihrer Handelsinfrastruktur oder ihren Wallets gegeben habe, und beschrieb den Vorfall als gezielten Missbrauch internen Zugriffs und nicht als erfolgreichen Hack der Kernsysteme.
Kraken erklärte, dass die Episode auf unzulässigen Zugriff durch Personen zurückzuführen ist, die mit dem Kundenservice-Betrieb in zwei getrennten Vorfällen in Verbindung stehen, die zusammen begrenzte Daten von etwa 2.000 Konten offenlegten, was ungefähr 0,02% der gesamten Nutzerbasis entspricht. Diese Nutzer wurden benachrichtigt, fügte die Börse hinzu, während den beteiligten Personen ihre Zugangsdaten entzogen und der Zugang zu internen Tools gesperrt wurde, während Kraken die Überwachung und Zugriffskontrollen verschärft.
Chief Security Officer Nick Percoco, der zuvor einen separaten 3-Millionen-Dollar-Exploit der Systeme von Kraken als „kein White-Hat-Hacking, sondern Erpressung" bezeichnet hatte, sagte, das Unternehmen behandele die neuen Bedrohungen erneut als kriminelle Angelegenheit und arbeite mit Strafverfolgungsbehörden zusammen. Er sagte Reportern, Kraken glaube, ausreichende Beweise zu haben, „um diejenigen zu identifizieren und bei ihrer Verhaftung zu helfen", die hinter dem jüngsten Erpressungsversuch stehen, und bekräftigte, dass die Plattform nicht mit Akteuren verhandeln werde, die versuchen, internen Zugriff zu monetarisieren.
Laut Beschreibung des Unternehmens spiegelt der Angriff ein zunehmendes Muster von „interner Infiltration + Social Engineering" wider, bei dem Außenstehende daran arbeiten, Personen innerhalb von Serviceorganisationen zu kompromittieren oder zu rekrutieren, um schreibgeschützten Zugriff, Aufklärungsmaterial oder begrenzte Kundendaten zu erlangen, anstatt gehärtete Wallet-Systeme direkt anzugreifen. Anfang dieses Jahres löste ein Dark-Web-Angebot, das 1-Dollar-Zugriff auf Krakens internes Support-Panel und KYC-Daten behauptete, ähnliche Bedenken aus, obwohl die Börse keine Sicherheitslücke bestätigte und Sicherheitsforscher warnten, dass selbst schreibgeschützter Zugriff auf Support-Tools für Phishing und gezielte Betrügereien verwendet werden könnte.
Der neue Erpressungsversuch erfolgt nach einem separaten Vorfall im März, bei dem ein Kraken-Nutzer Berichten zufolge etwa 7.784 ETH und 26,5 BTC – im Wert von rund 18,2 Millionen Dollar – durch ein ausgeklügeltes Social-Engineering-Schema verlor, bevor die Gelder zu HitBTC transferiert wurden, was das Spektrum der Bedrohungen unterstreicht, denen sowohl Plattformen als auch Kunden ausgesetzt sind. Wie die Blockchain-Analysefirma EmberCN und andere festgestellt haben, können selbst dort, wo Börsen-Treasuries und Hot Wallets nicht kompromittiert bleiben, Schwachstellen in menschlichen Kontrollen – vom Kundensupport-Zugriff bis zur Nutzer-OpSec – immer noch zu großen Verlusten und Reputationsschäden führen.
Für Kraken ist der jüngste Fall ein Belastungstest seiner seit langem beworbenen Sicherheitskultur, die obligatorische Zwei-Faktor-Authentifizierung, Hardware-Key-Unterstützung und regelmäßige öffentliche Mitteilungen von Percoco über Best Practices zum Kontoschutz umfasst. Für die gesamte Branche ist es eine weitere Erinnerung daran, dass in einem Markt, in dem eine einzige kompromittierte Zugangsberechtigung Millionen von Dollar vor Angreifern baumeln lassen kann, die größten Risiken oft an der Schnittstelle von internem Zugriff, menschlichem Fehler und altmodischer Erpressung liegen – nicht nur in Zero-Day-Code.
Quelle: https://crypto.news/kraken-refuses-ransom-after-internal-extortion-attempt-hits-2000-accounts/
