-
Benutzernamen, Kunden-E-Mail-Adressen, Kontostatus und IP-Adressen wurden gestohlen.
-
Es gelang den Betrügern nicht, Bitcoins oder Wallet Keys zu stehen.
-
Angreifer gab sich als Mitarbeiter von Unchained aus und konnte auf das interne System zugreifen.
Unchained Capital ist ein Krypto-Startup, das verschiedene Dienstleistungen bietet. Dazu gehört Beratung, Schutz von Bitcoin-Wallets und Vergabe von Krediten mit Bitcoin als Sicherheit. Der CEO von Unchained Capital, Joe Kelly, teilte in einem Beitrag auf der Website des Unternehmens mit, dass es einen Hacker-Angriff gegeben hat. Genauer gesagt, einen Social Engineering Angriff. Betroffen war eines der externen Arme der Firma, der sich um Marketing kümmert.
Angreifer erhielt Zugriff auf E-Mails, Nutzernamen, Kontostatus
Da der Angriff auf einer externen Plattform stattfand, konnte der Betrüger nur auf bestimmte Daten zugreifen. Dazu gehören Benutzernamen, Kontostatus, E-Mails sowie IP-Adressen der Kunden. Außerdem war er in der Lage zu sehen, ob ein Kunde einen aktiven Multisignatur-Tresor hatte oder einen Kredit von Unchained Capital erhielt. Aber er hatte keine Möglichkeit, Geld oder Krypto-Coins zu stehlen.
Laut der Mitteilung auf der Website von Uncharted gab es keine ungesicherten Stellen bei Kundenprofilen. Daten wie zum Beispiel Bankkontonummern, Anschriften, Passwörter, Bitcoin-Salden, Telefonnummern, Informationen über Handelsaktivitäten, Bitcoin-Adressen, Kreditsalden blieben unberührt.
Der Angriff erfolgte über den Live-Chat auf der öffentlichen Website, wobei keine Authentifizierung des Nutzers erforderlich war. Angreifer gab sich als Mitarbeiter von Unchained Capital aus und brachte einen Support-Mitarbeiter dazu, ein Konto des Finanzdienstleisters zu reaktivieren, das er vor einem Monat geschlossen hatte.
Krypto-Bestände der Kunden waren nicht betroffen
Danach kam ein zweiter Support-Mitarbeiter dazu, der dem Betrüger administrative Rechte erteilt hatte. Auf diese Weise konnte sich der Angreifer unbefugten Zugriff auf das interne System verschaffen, ohne überhaupt eine gültige E-Mail zu besitzen. Anschließend war er in der Lage, die Daten zu exportieren.
In dem Beitrag heißt es weiter:
Obwohl wir die Löschung dieser Daten gefordert hatten, wurden sie nicht gelöscht. Leider erfuhren wir es erst nach der Entdeckung des Social Engineering Angriffs. Innerhalb von 20 Minuten nach dem Angriff erhielt ein Administrator von Unchained Capital E-Mails mit den betrügerischen Chat-Protokollen und ergriff sofort Maßnahmen, um den weiteren Zugriff zu beschränken. Nachdem der Angriff aufgedeckt worden war, arbeitete Unchained Capital daran, die relevanten Fakten zu sammeln.
Der CEO des Unternehmens warnte die Kunden, sich des Vorfalls bewusst zu sein und sich vor Phishing-Angriffen in Acht zu nehmen. Auch wenn die Bitcoins der Kunden durch Multisig Cold Storage weiter geschützt sind. Kelly erklärte:
Wir bedauern diesen Vorfall sehr, da wir die Privatsphäre unserer Kunden sehr ernst nehmen. Wir möchten betonen, dass aufgrund unseres kollaborativen Verwahrungsmodells derartige Vorfälle niemals ein Risiko für Kundengeld darstellen können.