O que Unchained Capital, NYDIG, Swan Bitcoin e BlockFi têm em comum? Provedores terceirizados. Embora as quatro empresas tenham enfrentado o vazamento de dados de frente e admitido seus erros, a segurança comprometida era de outra pessoa. Felizmente, os dados que os maus atores roubaram não eram informações financeiras críticas, mas informações pessoais orientadas pelo marketing. Terrível, com certeza, mas não tão terrível quanto poderia ter sido.
Leitura Relacionada | Pesquisa BlockFi diz que 33% das mulheres planejam comprar criptomoedas este ano
Todas as empresas – Unchained Capital, NYDIG, Swan Bitcoin e BlockFi – divulgaram comunicados de imprensa com mea culpas. Vamos explorá-los para ver o que aprendemos com eles.
O que o capital desencadeado tem a dizer por si mesmo?
O CEO e cofundador da empresa, Joseph Kelly, abordou o problema por meio de uma carta no blog Unchained Capital. Kelly informou a todos que “um incidente de segurança ocorreu em um dos fornecedores que usamos anteriormente para marketing por e-mail”. Além disso, que “não há impacto algum nos sistemas da Unchained Capital”. Em seguida, ele descreveu o que aconteceu:
“ActiveCampaign (“AC”), um provedor de email marketing de terceiros que a Unchained Capital usou até o início de 2022, foi alvo de um ataque de engenharia social na semana passada. Este ataque ocorreu depois que a Unchained Capital fechou sua conta AC e solicitou que todos os dados fossem removidos.”
Observe que o provedor, ActiveCampaign, não é o mesmo dos três casos a seguir. A Unchained Capital deixa claro que nada disso foi roubado: “informações do perfil do cliente contendo informações de identificação pessoal (por exemplo, endereços, SSN, DOB, IDs, números de telefone usados em nosso processo KYC), números de contas bancárias, senhas, endereços bitcoin, saldos bitcoin, saldos de empréstimos, atividade comercial, extratos de cofres, extratos de empréstimos.”
Por outro lado, os “dados incluíam: endereços de e-mail, nomes de usuário, status da conta (ativo/inativo) e se o cliente tinha um cofre ativo ou empréstimo com Unchained Capital (sim ou não)”. E, para alguns usuários azarados, “seu nome, endereço de e-mail e endereço IP”
O que os usuários comprometidos devem fazer?
“É sempre importante que nossos clientes sejam diligentes em confirmar todas as comunicações e quaisquer solicitações que pareçam vir da Unchained Capital. Dado o vazamento de dados, os clientes devem estar em alerta máximo para qualquer tentativa de spear phishing. Seja especialmente cuidadoso ao clicar em qualquer link.”
Tabela de preços BTC para 03/21/2022 em Oanda | Fonte: BTC / USD em TradingView.com
Swan Bitcoin, NYDIG e BlockFi Point no Hubspot
Poderíamos reunir o mesmo comunicado de imprensa que a Unchained Capital divulgou usando as comunicações dessas três empresas. A diferença é que o Hubspot é o culpado aqui. Uma empresa semelhante à ActiveCampaign, mas uma empresa completamente diferente. Existe mais alguma coisa nessa história? Alguém está mirando essas empresas relacionadas ao bitcoin?
Vamos ver o que podemos aprender com a carta do Swan Bitcoin. A descrição da situação menciona o Hubspot quatro vezes no primeiro parágrafo:
“Em 18 de março de 2022, um de nossos fornecedores terceirizados, o Hubspot, confirmou que um agente mal-intencionado obteve acesso aos dados do Hubspot depois que uma conta de funcionário do Hubspot foi comprometida. A Hubspot nos notificou que o comprometimento era em uma parte de sua plataforma que incluía dados do cliente Swan.”
Ontem, a Hubspot, um fornecedor de marketing terceirizado, confirmou que um mau ator dentro de sua empresa obteve acesso aos dados de marketing do cliente Swan.
Leia o e-mail de Cory para os clientes nas capturas de tela anexadas para obter detalhes.
Manteremos você atualizado. pic.twitter.com/qtXVk5AOW8
— Cisne Bitcoin (@SwanBitcoin) 19 de março de 2022
Eles também descreveram o tamanho do dano com palavras reconfortantes: “Usamos o Hubspot para comunicação limitada do cliente e dados de marketing. Não usamos o Hubspot para armazenar informações financeiras, transações ou outras informações pessoais ou financeiras confidenciais.” Então, nada para ver aqui, certo?
Vamos olhar para BlockFi, a empresa descreve a situação em termos mais dramáticos. “Para ser claro, os sistemas internos da BlockFi e os fundos dos clientes estão protegidos e não foram afetados. Também podemos confirmar que as senhas da conta BlockFi, números de identificação emitidos pelo governo e números de previdência social nunca foram armazenados no Hubspot.”
Aqui estão as etapas para proteger sua presença online de agentes mal-intencionados de terceiros: pic.twitter.com/tOKf16wOuf
- BlockFi (@BlockFi) 19 de março de 2022
E eles não minimizam tanto o dano:
“Como parte do Hubspot sendo usado para fins de CRM e marketing, o BlockFi armazenou dados que incluíam nome, e-mail e número de telefone para a maioria de nossos clientes. Estamos trabalhando com a Hubspot enquanto eles continuam sua investigação para entender todo o escopo do impacto.”
Nem o NYDIG, que encerrou seu comunicado de imprensa com um apelo à ação para os clientes:
“Para se proteger, é importante que você exerça vigilância e cuidado extras ao revisar ou responder a e-mails, mensagens de texto e telefonemas, principalmente aqueles relacionados ao NYDIG.”
O que o Unchained Capital, Swan Bitcoin, NYDIG e BlockFi estão fazendo sobre isso?
Para responder a isso, citamos o cofundador do Swan, Yan Pritzker, que twittou:
“Trabalhamos 3 horas por dia desde o incidente com procedimentos que incluem uma limpeza de dados, encerramento de mais dados para terceiros e auditoria completa. Lançaremos um plano abrangente na próxima semana, que incluirá o abandono do uso de fornecedores para e-mail.”
As startups dependem de terceiros porque seria impossível fazer uma empresa decolar se você construísse tudo sozinho. Escolhemos fornecedores com padrões extremamente elevados. A Hubspot tinha certificação soc 3 tipo ii, por exemplo. Mas é claramente hora de levar isso em casa.
-Yan Pritzker (@skwp) 20 de março de 2022
E, como todas as respostas da empresa foram semelhantes, esperamos que seus procedimentos de segurança também sejam semelhantes. No entanto, algumas questões candentes permanecem. Essas empresas foram alvo? Os maus atores estavam procurando precisamente pelas informações que obtiveram? Ouviremos sobre esses vazamentos no futuro, conectados a uma história maior?
Leitura Relacionada | Empresa de Bitcoin NYDIG recebe injeção de US$ 200 milhões do Morgan Stanley, Soros
Se todas as empresas estivessem usando apenas um serviço, isso seria uma coisa. Mas tanto ActiveCampaign quanto Hubspot? No mesmo dia? Visando quatro empresas relacionadas ao bitcoin? Pode haver mais nessa história.
Imagem em destaque por Instituto Nacional do Câncer on Unsplash | Gráficos por TradingView
- "
- 2022
- Sobre
- Acesso
- Conta
- Açao Social
- ativo
- atividade
- endereço
- endereços
- Todos os Produtos
- auditor
- Bank
- conta bancária
- ser
- Bitcoin
- BlockFi
- BTC / USD
- BTCUSD
- construir
- comprar
- chamada
- capital
- Cuidado
- casos
- Chefe executivo
- FDA
- charts
- Relógio
- fechado
- Co-fundador
- cofundador
- comum
- Comunicação
- Comunicações
- Empresas
- Empresa
- Empresa
- conectado
- continuar
- poderia
- crítico
- CRM
- cripto
- dados,
- vazamento de dados
- dia
- diferente
- Cedo
- Else's
- Engenharia
- especialmente
- todos
- tudo
- exemplo
- Exercício
- financeiro
- Empresa
- Primeiro nome
- seguinte
- cheio
- fundos
- futuro
- altura
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Alta
- House
- HTTPS
- HubSpot
- imagem
- Impacto
- importante
- impossível
- incluir
- incluído
- Incluindo
- info
- INFORMAÇÕES
- investigação
- IP
- IT
- KYC
- vazar
- Vazamentos
- APRENDER
- Limitado
- Links
- procurando
- Maioria
- FAZ
- Março
- Marketing
- mais
- Morgan
- Morgan Stanley
- em movimento
- número
- números
- online
- Outros
- senhas
- pessoal
- Phishing
- plataforma
- imprensa
- Comunicados à CMVM
- preço
- Problema
- processo
- Perfil
- proteger
- fins
- Leitura
- liberar
- Releases
- volta
- segurança
- serviço
- semelhante
- Tamanho
- So
- Redes Sociais
- Engenharia social
- Alguém
- Spear Phishing
- padrões
- stanley
- declarações
- Status
- roubou
- roubado
- loja
- Vistorias
- sistemas
- De terceiros
- Através da
- tempo
- Trading
- Transações
- Capital desencadeado
- compreender
- us
- usar
- usuários
- Cofre
- fornecedores
- W
- semana
- O Quê
- se
- QUEM
- dentro
- Mulher
- palavras
- trabalhar