Kraken từ chối trả tiền chuộc sau vụ tống tiền nội bộ ảnh hưởng 2.000 tài khoản

Kraken từ chối yêu cầu tống tiền tội phạm sau khi truy cập nội bộ không đúng quy định làm lộ dữ liệu khoảng 2.000 tài khoản nhưng khẳng định không có vi phạm hệ thống hoặc rủi ro đối với quỹ khách hàng.

Sàn giao dịch tiền mã hóa Kraken cho biết đang bị một tổ chức tội phạm tống tiền, tuyên bố có video cho thấy việc truy cập vào hệ thống nội bộ của công ty, nhưng đã thề không trả bất kỳ khoản tiền chuộc nào và khẳng định rằng tiền của khách hàng vẫn an toàn. Trong một tuyên bố được CoinDesk trích dẫn, nền tảng này nhấn mạnh không có "vi phạm hệ thống" đối với cơ sở hạ tầng giao dịch hoặc ví, mô tả sự việc là lạm dụng có chủ đích quyền truy cập nội bộ chứ không phải là một vụ hack thành công vào hệ thống cốt lõi.

Kraken cho biết sự việc bắt nguồn từ việc truy cập không đúng quy định của các cá nhân liên quan đến hoạt động dịch vụ khách hàng trong hai sự cố riêng biệt, cùng nhau làm lộ dữ liệu hạn chế trên khoảng 2.000 tài khoản, tương đương khoảng 0,02% tổng số người dùng. Những người dùng đó đã được thông báo, sàn giao dịch cho biết thêm, trong khi những người liên quan đã bị thu hồi thông tin xác thực và bị ngắt kết nối khỏi các công cụ nội bộ khi Kraken thắt chặt giám sát và kiểm soát truy cập.

Giám đốc bảo mật Nick Percoco, người trước đây đã gọi một vụ khai thác 3 triệu USD riêng biệt đối với hệ thống của Kraken là "không phải hacking mũ trắng, đó là tống tiền," cho biết công ty một lần nữa đang xử lý các mối đe dọa mới như một vấn đề hình sự và đang hợp tác với cơ quan thực thi pháp luật. Ông nói với các phóng viên rằng Kraken tin rằng có đủ bằng chứng "để xác định và giúp bắt giữ" những kẻ đứng sau nỗ lực tống tiền mới nhất và nhấn mạnh lại rằng nền tảng sẽ không đàm phán với những kẻ cố gắng kiếm tiền từ quyền truy cập nội bộ.

Theo mô tả của công ty, cuộc tấn công phản ánh một xu hướng ngày càng gia tăng của "xâm nhập nội bộ + kỹ thuật xã hội," trong đó những kẻ bên ngoài làm việc để xâm nhập hoặc tuyển dụng những người bên trong các tổ chức dịch vụ nhằm có được quyền truy cập chỉ đọc, video trinh sát hoặc dữ liệu khách hàng hạn chế thay vì tấn công trực tiếp vào các hệ thống ví được bảo vệ chặt chẽ. Đầu năm nay, một danh sách trên dark web tuyên bố truy cập 1 USD vào bảng điều khiển hỗ trợ nội bộ và dữ liệu xác minh tên thật của Kraken đã gây ra những lo ngại tương tự, mặc dù sàn giao dịch không xác nhận vi phạm và các nhà nghiên cứu bảo mật cảnh báo rằng ngay cả quyền truy cập chỉ đọc vào các công cụ hỗ trợ cũng có thể bị vũ khí hóa cho lừa đảo qua lừa đảo và lừa đảo có mục tiêu.

Nỗ lực tống tiền mới xảy ra sau một sự cố riêng biệt vào tháng 3, trong đó một người dùng Kraken được cho là đã mất khoảng 7.784 ETH và 26,5 BTC — trị giá khoảng 18,2 triệu USD — do một âm mưu kỹ thuật xã hội tinh vi trước khi tiền được chuyển đến HitBTC, nhấn mạnh phạm vi các mối đe dọa mà cả nền tảng và khách hàng phải đối mặt. Như công ty phân tích blockchain EmberCN và những người khác đã lưu ý, ngay cả khi kho bạc sàn giao dịch và ví nóng vẫn không bị xâm phạm, sơ suất trong kiểm soát con người — từ quyền truy cập hỗ trợ khách hàng đến opsec người dùng — vẫn có thể dẫn đến tổn thất lớn và thiệt hại về danh tiếng.

Đối với Kraken, vụ việc mới nhất là một bài kiểm tra căng thẳng về văn hóa bảo mật được quảng bá lâu dài của nó, bao gồm 2FA bắt buộc, hỗ trợ khóa phần cứng và thông điệp công khai thường xuyên từ Percoco về các phương pháp bảo vệ tài khoản tốt nhất. Đối với ngành công nghiệp rộng lớn hơn, đó là một lời nhắc nhở khác rằng trong một thị trường mà một thông tin xác thực bị xâm phạm có thể treo hàng triệu đô la trước mặt kẻ tấn công, những rủi ro lớn nhất thường nằm ở điểm giao nhau giữa quyền truy cập nội bộ, lỗi của con người và tống tiền kiểu cũ — không chỉ trong mã zero-day.