L’exchange crypto Crypto.com a démenti avoir dissimulé aux autorités une fuite de données utilisateurs datant de 2023.
Selon un article publié vendredi par Bloomberg, Noah Urban, membre du groupe de hackers Scattered Spider, a affirmé que le collectif avait mené une opération de phishing réussie contre un compte employé de Crypto.com, début 2023, ce qui aurait exposé certaines informations personnelles d’utilisateurs.
L’enquêteur blockchain ZachXBT a ensuite déclaré sur X que Crypto.com avait « couvert une faille qui a touché les informations personnelles de ses utilisateurs », ajoutant que la plateforme avait été « compromise à plusieurs reprises ».
Le rapport de Bloomberg a provoqué de vives critiques de la part de certains observateurs du secteur, estimant que Crypto.com aurait dû faire preuve de plus de transparence publique, surtout dans un contexte de forte inquiétude liée aux fuites de données après que l’exchange Coinbase a été victime, plus tôt cette année, d’une exploitation visant ses clients.
Un porte-parole de Crypto.com a toutefois indiqué à Cointelegraph que l’entreprise avait bien effectué une « déclaration d’incident de sécurité des données » auprès du Nationwide Multistate Licensing System aux États-Unis, ainsi que « dans d’autres rapports transmis aux régulateurs compétents selon les juridictions ».
Crypto.com précise que l’impact du piratage était “limité”
Le porte-parole a expliqué que la société avait « détecté une campagne de phishing visant l’un de ses employés en 2023 ».
L’incident a entraîné « l’exposition de données personnelles identifiables limitées (PII) concernant un très petit nombre d’individus », a-t-il ajouté. « L’incident a été contenu en quelques heures après sa détection et aucun fonds client n’a été accédé ni mis en danger. »
On ignore toutefois si Crypto.com a informé directement les utilisateurs affectés, ni si les déclarations faites aux régulateurs ont été rendues publiques. La société n’a pas répondu immédiatement aux demandes d’éclaircissement.
Le PDG dénonce de la “désinformation”
Le PDG de Crypto.com, Kris Marszalek, a publié dimanche un message similaire sur X, affirmant que « de la désinformation circulait à partir de sources non informées ».
« Toute suggestion selon laquelle nous n’avons pas signalé ou divulgué un incident de sécurité est totalement infondée », a-t-il déclaré, ajoutant que la société avait bien signalé la faille aux États-Unis ainsi qu’aux « régulateurs compétents dans les juridictions concernées ».
Plus tôt ce mois-ci, Trump Media & Technology Group — maison mère de Truth Social, la plateforme de l’ancien président américain Donald Trump — a finalisé un accord avec Crypto.com pour établir une trésorerie en Cronos (CRO).
Cet accord marque un renforcement des liens entre l’industrie crypto et l’administration Trump.