Hvad har Unchained Capital, NYDIG, Swan Bitcoin og BlockFi til fælles? Tredjepartsudbydere. Selvom de fire virksomheder konfronterede datalækket frontalt og indrømmede deres fejl, var den kompromitterede sikkerhed en andens. Heldigvis var de data, de dårlige skuespillere stjal, ikke kritiske økonomiske oplysninger, men markedsføringsdrevet personlig information. Forfærdeligt, ganske vist, men ikke så forfærdeligt, som det kunne have været.
Relateret læsning | BlockFi-undersøgelsen siger, at 33 % af kvinderne planlægger at købe krypto i år
Alle virksomheder - Unchained Capital, NYDIG, Swan Bitcoin og BlockFi - udgav pressemeddelelser med mea culpas. Lad os udforske dem for at se, hvad vi lærer af dem.
Hvad har ukædet kapital at sige for sig selv?
Virksomhedens administrerende direktør og medstifter, Joseph Kelly, adresserede problemet igennem et brev i Unchained Capital-bloggen. Kelly fortalte alle, at "en sikkerhedshændelse, der fandt sted hos en af de leverandører, vi tidligere brugte til e-mailmarketing." Også, at "der er ingen som helst indflydelse på Unchained Capitals systemer." Så beskrev han, hvad der skete:
"ActiveCampaign ("AC"), en tredjeparts udbyder af e-mailmarketing, som Unchained Capital brugte indtil tidligt i 2022, var genstand for et socialt ingeniørangreb i sidste uge. Dette angreb fandt sted, efter at Unchained Capital havde lukket sin AC-konto og anmodet om, at alle data blev renset."
Bemærk, at udbyderen, ActiveCampaign, ikke er den samme som i de følgende tre tilfælde. Unchained Capital gør det klart, at intet af dette blev stjålet: "klientprofiloplysninger, der indeholder personligt identificerbare oplysninger (f.eks. adresser, SSN, DOB, ID'er, telefonnumre brugt i vores KYC-proces), bankkontonumre, adgangskoder, bitcoin-adresser, bitcoin-saldi, lånesaldi, handelsaktivitet, boksopgørelser, låneopgørelser."
På den anden side inkluderede "dataene: e-mail-adresser, brugernavne, kontostatus (aktiv/inaktiv) og om kunden havde en aktiv boks eller et lån med Unchained Capital (ja eller nej)." Og for nogle uheldige brugere, "deres navn, e-mailadresse og IP-adresse"
Hvad skal kompromitterede brugere gøre?
"Det er altid vigtigt, at vores kunder er omhyggelige med at bekræfte al kommunikation og enhver anmodning, der ser ud til at komme fra Unchained Capital. I betragtning af datalækket bør klienter være i høj vagt for ethvert spyd-phishing-forsøg. Vær særlig forsigtig med at klikke på links."
BTC -prisdiagram for 03/21/2022 på Oanda | Kilde: BTC/USD on TradingView.com
Swan Bitcoin, NYDIG og BlockFi Point At Hubspot
Vi kunne samle den samme pressemeddelelse, som Unchained Capital udgav ved hjælp af disse tre virksomheders kommunikation. Forskellen er, at Hubspot er den skyldige part her. Et lignende firma som ActiveCampaign, men et helt andet firma. Er der mere i denne historie? Er nogen rettet mod disse bitcoin-relaterede virksomheder?
Lad os se, hvad vi kan lære af Swan Bitcoins brev. Deres beskrivelse af situationen falder Hubspot fire gange i det første afsnit:
"Den 18. marts 2022 bekræftede en af vores tredjepartsleverandører, Hubspot, at en dårlig skuespiller fik adgang til Hubspot-data, efter at en Hubspot-medarbejderkonto blev kompromitteret. Hubspot meddelte os, at kompromiset var til en del af deres platform, der inkluderede Swan-klientdata."
I går bekræftede Hubspot, en tredjepartsmarkedsføringsleverandør, at en dårlig aktør i deres virksomhed fik adgang til Swan-klientmarkedsføringsdata.
Læs Corys e-mail til kunder i de vedhæftede skærmbilleder for detaljer.
Vi holder dig opdateret. pic.twitter.com/qtXVk5AOW8
— Swan Bitcoin (@SwanBitcoin) Marts 19, 2022
De beskrev også størrelsen af skaden med trøstende ord "Vi bruger Hubspot til begrænset kundekommunikation og marketingdata. Vi bruger ikke Hubspot til at gemme finansielle oplysninger, transaktioner eller andre følsomme personlige eller finansielle oplysninger." Så der er ikke noget at se her, vel?
Lad os se på BlockFi, virksomheden beskriver situationen i mere dramatiske vendinger. "For at være klar, er BlockFis interne systemer og klientmidler sikret og blev ikke påvirket. Vi kan også bekræfte, at adgangskoder til BlockFi-kontoer, statsudstedte id-numre og cpr-numre aldrig blev gemt på Hubspot."
Her er trin til at beskytte din online tilstedeværelse fra tredjeparts dårlige aktører: pic.twitter.com/tOKf16wOuf
- BlockFi (@BlockFi) Marts 19, 2022
Og de bagatelliserer ikke skaden så meget:
"Som en del af, at Hubspot bliver brugt til CRM- og marketingformål, gemte BlockFi data, der inkluderede navn, e-mail og telefonnummer for størstedelen af vores kunder. Vi arbejder med Hubspot, mens de fortsætter deres undersøgelse for at forstå det fulde omfang af påvirkning."
Det gør NYDIG heller ikke, som afsluttede deres pressemeddelelse med en opfordring til handling for kunder:
"For at beskytte dig selv er det vigtigt, at du udviser ekstra årvågenhed og omhu, når du gennemgår eller besvarer e-mails, tekstbeskeder og telefonopkald, især dem, der er relateret til NYDIG."
Hvad gør Unchained Capital, Swan Bitcoin, NYDIG og BlockFi ved det?
For at besvare dette citerer vi Swans medstifter Yan Pritzker, som tweetede:
"Vi har arbejdet døgnet rundt siden hændelsen med procedurer, herunder en datascrub, afslutning af yderligere data til 3. parter og komplet revision. Vi vil udsende en omfattende plan i den næste uge, som vil omfatte at gå væk fra at bruge leverandører til e-mail."
Startups er afhængige af 3. parter, fordi det ville være umuligt at få en virksomhed i gang, hvis du bygger alt selv. Vi valgte leverandører med ekstremt høje standarder. Hubspot havde for eksempel soc 2 type ii certificering. Men det er klart på tide at tage dette i hus.
— Yan Pritzker (@skwp) Marts 20, 2022
Og da alle virksomhedens svar har været ens, håber vi, at deres sikkerhedsprocedurer også ligner hinanden. Der er dog et par brændende spørgsmål tilbage. Var disse virksomheder målrettet? Ledte de dårlige skuespillere netop efter den information, de fik? Vil vi høre om disse lækager i fremtiden, forbundet med en større historie?
Relateret læsning | Bitcoin-firmaet NYDIG får $200 mio.-indsprøjtning fra Morgan Stanley, Soros
Hvis alle virksomheder kun ville have brugt én tjeneste, ville det være én ting. Men både ActiveCampaign og Hubspot? Samme dag? Målretter du mod fire bitcoin-relaterede virksomheder? Der kan være mere i denne historie.
Udvalgt billede af National Cancer Institute on Unsplash | Diagrammer af TradingView
- "
- 2022
- Om
- adgang
- Konto
- Handling
- aktiv
- aktivitet
- adresse
- adresser
- Alle
- revision
- Bank
- bankkonto
- være
- Bitcoin
- BlockFi
- BTC / USD
- BTCUSD
- bygge
- købe
- ringe
- kapital
- hvilken
- tilfælde
- Direktør
- Certificering
- Diagrammer
- ur
- lukket
- Medstifter
- medstifter
- Fælles
- Kommunikation
- Kommunikation
- Virksomheder
- selskab
- Selskabs
- tilsluttet
- fortsæt
- kunne
- kritisk
- CRM
- krypto
- data
- datalækage
- dag
- forskellige
- Tidligt
- Ellers
- Engineering
- især
- alle
- at alt
- eksempel
- Dyrke motion
- finansielle
- Firm
- Fornavn
- efter
- fuld
- fonde
- fremtiden
- højde
- link.
- Høj
- hus
- HTTPS
- HubSpot
- billede
- KIMOs Succeshistorier
- vigtigt
- umuligt
- omfatter
- medtaget
- Herunder
- info
- oplysninger
- undersøgelse
- IP
- IT
- KYC
- lække
- Lækager
- LÆR
- Limited
- links
- leder
- Flertal
- maerker
- Marts
- Marketing
- mere
- Morgan
- morgan stanley
- flytning
- nummer
- numre
- online
- Andet
- Nulstilling/ændring af adgangskoder
- personale
- Phishing
- perron
- trykke
- Pressemeddelelse
- pris
- Problem
- behandle
- Profil
- beskytte
- formål
- Læsning
- frigive
- Udgivelser
- rundt
- sikkerhed
- tjeneste
- lignende
- Størrelse
- So
- Social
- Samfundsteknologi
- Nogen
- Spyd phishing
- standarder
- Stanley
- udsagn
- Status
- Stole
- stjålet
- butik
- Kortlægge
- Systemer
- tredjepart
- Gennem
- tid
- Trading
- Transaktioner
- Ukædet kapital
- forstå
- us
- brug
- brugere
- Vault
- leverandører
- W
- uge
- Hvad
- hvorvidt
- WHO
- inden for
- Dame
- ord
- arbejder