Crypto.com a-t-elle caché une faille de sécurité ? Son PDG dément formellement

Le PDG de Crypto.com dément les allégations de ZachXBT

Dans la nuit de dimanche à ce lundi, Kris Marszalek, le PDG de Crypto.com, a publié un tweet pour démentir des déclarations de l’enquêteur on-chain ZachXBT, selon lesquelles l’exchange de cryptomonnaies aurait cherché à camoufler un incident de sécurité :

Toute suggestion selon laquelle nous n’aurions pas signalé ou divulgué un incident de sécurité est totalement infondée. Comme nous l’avons signalé dans un avis d’incident de sécurité des données du NMLS [Nationwide Multi-State Licensing System and Registry, ndlr] et dans des rapports supplémentaires auprès des régulateurs juridictionnels compétents, nous avons détecté une campagne de phishing qui ciblait l’un de nos employés en 2023. L’incident a été maîtrisé en quelques heures, aucun fonds client n’a été consulté ni mis en danger, et a eu un impact sur un nombre extrêmement limité d’informations personnelles partiellement identifiables de nos utilisateurs.

👨‍🏫 Comment stocker ses cryptomonnaies en dehors des exchanges centralisés ?

En l’occurrence, ZachXBT répondait de manière ironique à un tweet lambda de Crypto.com, en citant un article de Bloomberg paru vendredi.

Réponse de ZachXBT au tweet de Crypto.com

Toujours en commentaires sous le même tweet, l’enquêteur on-chain avance que l’exchange de cryptomonnaies a fait face à des brèches de sécurité « à plusieurs reprises » par le passé.

Que les faits soient avérés ou non, il est probable que l’intervention de Kris Marszalek produise un effet comparable à l’effet Streisand, puisqu’en l’occurrence, l’article de Bloomberg cité par ZachXBT ne cite « Crypto.com » que 2 fois, et ce, dans le même paragraphe :

Ensemble, explique Noah, ils ont réussi à accéder au compte d’un employé de Crypto.com, une plateforme de crypto-trading. Ils ont également exploité un système de United Parcel Service Inc. pour collecter les données personnelles des victimes potentielles. (Un porte-parole de Crypto.com affirme que l’attaque contre sa plateforme, jusqu’alors non rapportée par les médias, concernait des informations touchant « un très petit nombre de personnes » et qu’il n’y a eu aucun accès aux fonds des clients. UPS a déclaré en 2023 avoir résolu le problème ; elle a refusé de fournir plus de détails pour cet article.)

Pour comprendre de quoi il en retourne, le Noah en question est Noah Urban, un jeune américain de 20 ans, condamné à 10 ans de prison le 20 août dernier pour son implication dans des affaires de cybercriminalité avec le groupe de hackers Scattered Spider, ainsi qu’à 13,4 millions de dollars de dédommagement pour ses victimes.

👉 Dans l’actualité également — MiCA : l’AMF muscle sa surveillance avec les orientations de l’ESMA, qu’est-ce que ça va changer ?

En l’occurrence, l’intéressé, arrêté en janvier 2024, a notamment été jugé pour des accusations de piratage informatique contre 13 entreprises, incluant entre autres Verizon, Riot Games, AT&T et T-Mobile. Ainsi, l’article retrace le parcours cybercriminel de Noah Urban, qui a également opéré de nombreuses attaques pas SIM swap auprès de détenteurs de cryptomonnaies, sans que Crypto.com ne soit citée ailleurs que dans le paragraphe susmentionné.

Sources : X, Bloomberg

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

2225 articles

Tous ses articles