Sosyal medyadaki çok sayıda rapor, finans ve risk danışmanlığı şirketi Kroll’da, bazı kredi talep sahiplerinin kişisel verilerinin yetkisiz bir üçüncü tarafa ifşa edilmesiyle sonuçlanan bir veri ihlali konusunda uyarıda bulunuyor.
Kroll, iflas eden FTX, BlockFi ve Genesis Global Holdco şirketleri için hak taleplerini kolaylaştırıyor.
FTX Ve BlockFi Bugün X’te, Kroll’da sistemlerine yetkisiz üçüncü taraf erişimini içeren bir güvenlik olayının “belirli talep sahiplerinin sınırlı, hassas olmayan müşteri verilerinin” açığa çıktığını yayınladı.
Açığa çıkan verilerin niteliğinden açıkça bahsedilmese de iki şirket, ne FTX’in ne de BlockFi’nin sistemlerinin doğrudan ihlal edilmemesi nedeniyle kullanıcı şifrelerinin ve müşteri fonlarının etkilenmediğini açıkladı.
Ayrıca her ikisi de Kroll’un etkilenen kişileri doğrudan bilgilendireceğini ve şirketin olayı zaten kontrol altına alıp düzelttiğini belirtiyor.
Kimlik avı sürüyor
Kroll’da bildirilen ihlalin ardından, kripto şirketlerinin bekleyen iflas davalarıyla ilgili birkaç kişi, Kimlik avı e-postaları sosyal medyadan aldılar.
Bildirilen vakaların çoğunda, bu kişilere gönderilen mesajlar FTX’in kimliğine bürünüyor ve alıcının, sözde platformdaki bilinen son bakiyesiyle eşleşerek, hesaplarından dijital varlıkları çekmeye başlamaya uygun olduğunu iddia ediyor.
Bu mesajlar insanların kripto para cüzdanlarını koruyan tohumlarını ele geçirmeyi ve onları boşaltmayı amaçlamaktadır.
Olayın kapsamı
Genesis davayla ilgili hiçbir şey yayınlamamış olsa da CoinDesk editörü Rob Mitchell paylaştı Firmadan bugün erken saatlerde veri ihlaliyle ilgili bir bildirim geldi; burada Kroll olayının çalışanlarından birinin T-Mobile numarasına yapılan SIM değiştirme saldırısından kaynaklandığı belirtildi.
Saldırganlar, işverenin hesabını ele geçirmek ve Kroll’un bulut tabanlı sistemlerinde depolanan tam adlar, fiziksel adresler, e-posta adresleri ve borçlu talep ayrıntıları dahil dosyalara erişmek için MFA’yı atladı.
Kroll’un yüzlerce kuruluş için yeniden yapılandırma davalarıyla ilgilendiğini belirtmek gerekir; bu nedenle, eğer firma bir veri ihlaline maruz kalırsa, olay, adı geçen üç kripto yatırım şirketi ve onların alacaklılarından çok daha fazla kuruluşu ve kişiyi etkileyebilir.
BleepingComputer, olayla ilgili yorum talebiyle Kroll ile iletişime geçti ancak yayınlanma tarihine kadar bir yanıt alamadık. Ayrıca şirket henüz sitesinde veya sosyal medya kanallarında herhangi bir açıklama yayınlamadı.