Was haben Unchained Capital, NYDIG, Swan Bitcoin und BlockFi gemeinsam? Drittanbieter. Auch wenn die vier Unternehmen dem Datenleck direkt entgegentraten und ihr Unrecht eingestanden hatten, war die kompromittierte Sicherheit die Sache einer anderen Person. Glücklicherweise handelte es sich bei den Daten, die die Kriminellen gestohlen hatten, nicht um wichtige Finanzinformationen, sondern um marketingbezogene persönliche Informationen. Schrecklich zwar, aber nicht so schrecklich, wie es hätte sein können.
Verwandte Lesung | Laut BlockFi-Umfrage planen 33 % der Frauen, dieses Jahr Krypto zu kaufen
Alle Unternehmen – Unchained Capital, NYDIG, Swan Bitcoin und BlockFi – veröffentlichten Pressemitteilungen mit mea culpas. Lassen Sie uns sie erkunden, um zu sehen, was wir daraus lernen.
Was hat Unchained Capital für sich zu sagen?
Der CEO und Mitbegründer des Unternehmens, Joseph Kelly, ging das Problem an ein Brief im Unchained Capital-Blog. Kelly ließ alle wissen, dass „ein Sicherheitsvorfall bei einem der Anbieter aufgetreten ist, die wir zuvor für E-Mail-Marketing genutzt haben“. Außerdem heißt es: „Es gibt keinerlei Auswirkungen auf die Systeme von Unchained Capital.“ Dann beschrieb er, was passierte:
„ActiveCampaign („AC“), ein externer E-Mail-Marketing-Anbieter, den Unchained Capital bis Anfang 2022 nutzte, war letzte Woche Gegenstand eines Social-Engineering-Angriffs. Dieser Angriff erfolgte, nachdem Unchained Capital sein AC-Konto geschlossen und die Löschung aller Daten gefordert hatte.“
Beachten Sie, dass der Anbieter ActiveCampaign nicht derselbe ist wie in den folgenden drei Fällen. Unchained Capital stellt klar, dass nichts davon gestohlen wurde: „Kundenprofilinformationen, die persönlich identifizierbare Informationen enthalten (z. B. Adressen, SSN, Geburtsdatum, Ausweise, Telefonnummern, die in unserem KYC-Prozess verwendet werden), Bankkontonummern, Passwörter, Bitcoin-Adressen, Bitcoin-Guthaben, Kreditsalden, Handelsaktivitäten, Tresorauszüge, Kreditauszüge.“
Andererseits umfassten die „Daten: E-Mail-Adressen, Benutzernamen, Kontostatus (aktiv/inaktiv) und ob der Kunde einen aktiven Tresor oder Kredit bei Unchained Capital hatte (ja oder nein).“ Und für einige unglückliche Benutzer „ihr Name, ihre E-Mail-Adresse und ihre IP-Adresse“
Was sollten kompromittierte Benutzer tun?
„Es ist immer wichtig, dass unsere Kunden alle Mitteilungen und Anfragen, die scheinbar von Unchained Capital stammen, sorgfältig bestätigen. Angesichts des Datenlecks sollten Kunden auf Spear-Phishing-Versuche besonders aufmerksam sein. Seien Sie besonders vorsichtig, wenn Sie auf Links klicken.“
BTC-Preisdiagramm für den 03 auf Oanda | Quelle: BTC/USD auf TradingView.com
Swan Bitcoin, NYDIG und BlockFi Point bei Hubspot
Wir könnten die gleiche Pressemitteilung, die Unchained Capital herausgegeben hat, mit den Mitteilungen dieser drei Unternehmen kombinieren. Der Unterschied besteht darin, dass Hubspot hier der Schuldige ist. Ein ähnliches Unternehmen wie ActiveCampaign, aber ein völlig anderes Unternehmen. Gibt es noch mehr zu dieser Geschichte? Hat jemand diese Bitcoin-Unternehmen im Visier?
Mal sehen, was wir aus dem Brief von Swan Bitcoin lernen können. Ihre Beschreibung der Situation erwähnt Hubspot im ersten Absatz viermal:
„Am 18. März 2022 bestätigte einer unserer Drittanbieter, Hubspot, dass ein böswilliger Akteur Zugriff auf Hubspot-Daten erhalten hat, nachdem ein Hubspot-Mitarbeiterkonto kompromittiert wurde. Hubspot hat uns darüber informiert, dass die Kompromittierung einen Teil ihrer Plattform betraf, der Swan-Kundendaten enthielt.“
Gestern hat Hubspot, ein Marketing-Drittanbieter, bestätigt, dass ein schlechter Akteur in seinem Unternehmen Zugriff auf die Marketingdaten von Swan-Kunden erhalten hat.
Lesen Sie Corys E-Mail an Kunden in den beigefügten Screenshots für Details.
Wir halten Sie auf dem Laufenden. pic.twitter.com/qtXVk5AOW8
– Swan Bitcoin (@SwanBitcoin) 19. März 2022
Sie beschrieben die Größe des Schadens auch mit tröstenden Worten: „Wir nutzen Hubspot für begrenzte Kundenkommunikations- und Marketingdaten. Wir nutzen Hubspot nicht zum Speichern von Finanzinformationen, Transaktionen oder anderen sensiblen persönlichen oder finanziellen Informationen.“ Hier gibt es also nichts zu sehen, oder?
Schauen wir uns BlockFi an, das Unternehmen beschreibt die Situation dramatischer. „Um es klarzustellen: Die internen Systeme und Kundengelder von BlockFi sind geschützt und wurden nicht beeinträchtigt. Wir können auch bestätigen, dass BlockFi-Kontopasswörter, von der Regierung ausgestellte ID-Nummern und Sozialversicherungsnummern niemals auf Hubspot gespeichert wurden.“
Hier sind Schritte, um Ihre Online-Präsenz vor böswilligen Dritten zu schützen: pic.twitter.com/tOKf16wOuf
- BlockFi (@BlockFi) 19. März 2022
Und sie spielen den Schaden nicht so sehr herunter:
„Im Rahmen der Nutzung von Hubspot für CRM- und Marketingzwecke speicherte BlockFi Daten, darunter Name, E-Mail-Adresse und Telefonnummer der meisten unserer Kunden. Wir arbeiten mit Hubspot zusammen, während sie ihre Untersuchung fortsetzen, um das volle Ausmaß der Auswirkungen zu verstehen.“
Das Gleiche gilt für NYDIG, das seine Pressemitteilung mit einem Aufruf zum Handeln an seine Kunden beendete:
„Um sich selbst zu schützen, ist es wichtig, dass Sie beim Lesen oder Beantworten von E-Mails, Textnachrichten und Telefonanrufen, insbesondere im Zusammenhang mit NYDIG, besondere Wachsamkeit und Sorgfalt walten lassen.“
Was tun Unchained Capital, Swan Bitcoin, NYDIG und BlockFi dagegen?
Um diese Frage zu beantworten, zitieren wir Swans Mitbegründer Yan Pritzker, der getwittert hat:
„Seit dem Vorfall haben wir rund um die Uhr an Verfahren wie einer Datenbereinigung, der Weitergabe weiterer Daten an Dritte und einer vollständigen Prüfung gearbeitet. Wir werden in der nächsten Woche einen umfassenden Plan vorlegen, der die Abkehr von der Nutzung von Anbietern für E-Mails vorsieht.“
Startups sind auf Dritte angewiesen, da es unmöglich wäre, ein Unternehmen auf die Beine zu stellen, wenn man alles selbst aufbaut. Wir haben Anbieter mit extrem hohen Standards ausgewählt. Hubspot verfügte beispielsweise über eine SOC-3-Typ-II-Zertifizierung. Aber es ist eindeutig an der Zeit, dies intern zu berücksichtigen.
— Yan Pritzker (@skwp) 20. März 2022
Und da alle Reaktionen des Unternehmens ähnlich waren, hoffen wir, dass auch ihre Sicherheitsverfahren ähnlich sind. Es bleiben jedoch einige brennende Fragen offen. Wurden diese Unternehmen ins Visier genommen? Haben die Täter genau nach den Informationen gesucht, die sie erhalten haben? Werden wir in Zukunft von diesen Leaks hören, verbunden mit einer größeren Geschichte?
Verwandte Lesung | Das Bitcoin-Unternehmen NYDIG erhält eine Finanzspritze von 200 Millionen US-Dollar von Morgan Stanley und Soros
Wenn alle Unternehmen nur einen Dienst genutzt hätten, wäre das eine Sache. Aber sowohl ActiveCampaign als auch Hubspot? Am selben Tag? Vier Bitcoin-Unternehmen im Visier? Vielleicht steckt noch mehr hinter dieser Geschichte.
Ausgewähltes Bild von National Cancer Institute on Unsplash | Charts von TradingView
- "
- 2022
- Über uns
- Zugang
- Konto
- Action
- aktiv
- Aktivität
- Adresse
- Adressen
- Alle
- Prüfung
- Bank
- Bankkonto
- Sein
- Bitcoin
- Blockieren
- BTC / USD
- BTCUSD
- bauen
- Kaufe
- rufen Sie uns an!
- Hauptstadt
- österreichische Unternehmen
- Fälle
- CEO
- Zertifizierung
- Charts
- Uhr
- geschlossen
- Co-Gründer
- Mitbegründer
- gemeinsam
- Kommunikation
- Kommunikation
- Unternehmen
- Unternehmen
- Unternehmen
- Sie
- fortsetzen
- könnte
- kritischem
- CRM
- Krypto
- technische Daten
- Datumsleck
- Tag
- anders
- Früh
- Sonst
- Entwicklung
- insbesondere
- jedermann
- alles
- Beispiel
- Training
- Revolution
- Fest
- Vorname
- Folgende
- voller
- Mittel
- Zukunft
- Höhe
- hier
- GUTE
- Häuser
- HTTPS
- HubSpot
- Image
- Impact der HXNUMXO Observatorien
- wichtig
- unmöglich
- das
- inklusive
- Einschließlich
- Info
- Information
- Untersuchung
- IP
- IT
- KYC
- Leck
- Undichtigkeiten
- LERNEN
- Limitiert
- Links
- suchen
- Mehrheit
- MACHT
- März
- Marketing
- mehr
- Morgan
- Morgan Stanley
- ziehen um
- Anzahl
- Zahlen
- Online
- Andere
- Passwörter
- persönliche
- Phishing
- Plattform
- Presse
- Pressemitteilung
- Preis
- Aufgabenstellung:
- Prozessdefinierung
- Profil
- Risiken zu minimieren
- Zwecke
- Lesebrillen
- Release
- Mitteilungen
- rund
- Sicherheitdienst
- ähnlich
- Größe
- So
- Social Media
- Soziale Technik
- Jemand,
- Speer-Phishing
- Normen
- Stanley
- Aussagen
- Status
- Tisch
- gestohlen
- speichern
- Umfrage
- Systeme und Techniken
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- Durch
- Zeit
- Trading
- Transaktionen
- Nicht verkettetes Kapital
- verstehen
- us
- -
- Nutzer
- Gewölbe
- Anbieter
- W
- Woche
- Was
- ob
- WHO
- .
- Damen
- Worte
- arbeiten,