Crypto.com ha rivelato la scorsa settimana di aver autorizzato oltre 35 milioni di dollari in transazioni fraudolente, colpendo 483 persone e costando alla società un importo non non noto.
I funzionari di Crypto.com non hanno detto come sono state avviate le transazioni fraudolente, solo che hanno aggirato il sistema di autenticazione a due fattori dell’azienda (2FA). L’arena dei Los Angeles Lakers è stata presumibilmente ribattezzata da Crypto.com per $ 700 milioni.
Secondo un esperto di sicurezza informativa, quanto accaduto dimostra l’importanza di avere molti livelli di protezione e altre misure che le istituzioni finanziarie potrebbero adottare per prevenire un attacco informatico.
Crypto.com reagisce bene all’hacking
“Purtroppo, continuano a verificarsi violazioni della sicurezza”, ha affermato Zilvinas Bareisis, capo del settore bancario al dettaglio di Celent. “Una volta accaduto il problema, Crypto.com sembra comunque aver agito bene sotto molti aspetti”
Crypto.com è stato anche elogiato da Bareisis per aver sospeso tutti i prelievi fino a quando il problema di sicurezza non è stato risolto. Inoltre, ha affermato che compensare i clienti interessati era “la cosa giusta da fare, anche se costava denaro all’azienda”.
Non ha rivelato quanti prelievi illegali ha interrotto o quanto ha pagato a titolo di risarcimento. L’autopsia del 20 gennaio ha affermato che “nella maggior parte dei casi” ha impedito prelievi illegali e “in tutte le altre situazioni” rimborsato. Un rappresentante della società ha rifiutato di commentare ulteriormente.
Iscriviti a Crypto.com e ricevi subito $25 come BONUS di benvenuto
I numeri
All’inizio della scorsa settimana, le transazioni non autorizzate ammontavano a 4.836,26 Ethereum (circa $15,5 milioni) e 443,93 Bitcoin (circa $19 milioni). Due giorni dopo, il CEO Kris Marszalek ha detto a Bloomberg: “Questi numeri non sono particolarmente rilevanti“.
L’app di scambio criptovalute situata a Singapore è una società privata senza divulgazioni finanziarie. Il costo per ribattezzare lo stadio di casa dei Los Angeles Lakers, la Crypto.com Arena, è stato stimato in oltre $700 milioni, secondo il Los Angeles Times.
L’attacco della scorsa settimana è stato causato da un’apparente lacuna nel sistema di autenticazione a più fattori dell’azienda. “Le transazioni sono state approvate senza che l’utente immettesse il controllo di autenticazione 2FA”, secondo l’avviso del 20 gennaio.
In altre parole, quando gli hacker hanno eseguito una transazione dai loro account compromessi, Crypto.com apparentemente ha inviato tramite e-mail password monouso ai clienti interessati.
Il CEO di Crypto.com ammette: centinaia di account violati. Cosa succede adesso
Crypto.com supera lo stress test
L’azienda, a suo merito, ha consentito che le transazioni avvenissero senza la partecipazione degli utenti. Inoltre, la società non ha detto se le password monouso sono state intercettate dagli hacker o se l’infrastruttura di Crypto.com ha consentito alle transazioni di procedere senza di esse.
Un solido sistema di autenticazione a due fattori, secondo Bareisis, è vitale ma “raramente sufficiente” per evitare aggressioni. Le organizzazioni, sostiene, devono essere in grado di “aumentare” la sicurezza secondo necessità.
Durante l’attacco, i sistemi di monitoraggio del rischio di uno scambio di criptovalute hanno rilevato il problema, sollecitando una risposta multi-team per valutare il danno. Ha sospeso per 14 ore i prelievi mentre indagava e rispondeva.
La società ha annunciato di aver “rinnovato e migrato a un’infrastruttura 2FA completamente nuova” e che erano stati stabiliti nuovi termini per la futura assicurazione dell’account.
Il suo programma mondiale di protezione dell’account andrà online in “certe aree” il 1° febbraio. I clienti devono abilitare l’autenticazione a più fattori “su tutti i tipi di transazione in cui è accessibile”, impostare un codice anti-phishing e astenersi dall’utilizzare dispositivi jailbroken per essere coperti.
Crypto.com indennizzerà i clienti fino a $ 250.000 in caso di un hack futuro se soddisfano tutti i requisiti e rivelano correttamente un hack. I clienti dovranno pagare un premio più alto per questa copertura e se perdessero più di $ 250.000.