¿Qué tienen en común Unchained Capital, NYDIG, Swan Bitcoin y BlockFi? Proveedores de terceros. Aunque las cuatro empresas confrontaron la fuga de datos y admitieron sus errores, la seguridad comprometida era de otra persona. Afortunadamente, los datos que robaron los malhechores no eran información financiera crítica, sino información personal impulsada por el marketing. Terrible, sin duda, pero no tan terrible como podría haber sido.
Lectura relacionada | Encuesta de BlockFi dice que el 33% de las mujeres planea comprar criptomonedas este año
Todas las empresas, Unchained Capital, NYDIG, Swan Bitcoin y BlockFi, publicaron comunicados de prensa con mea culpas. Explorémoslos para ver qué aprendemos de ellos.
¿Qué tiene que decir Unchained Capital por sí mismos?
El CEO y cofundador de la compañía, Joseph Kelly, abordó el problema a través de una carta en el blog Unchained Capital. Kelly les hizo saber a todos que “un incidente de seguridad que ocurrió en uno de los proveedores que usamos anteriormente para el marketing por correo electrónico”. Además, que “no hay ningún impacto en los sistemas de Unchained Capital”. Luego, describió lo sucedido:
“ActiveCampaign (“AC”), un proveedor de marketing por correo electrónico de terceros que Unchained Capital usó hasta principios de 2022, fue objeto de un ataque de ingeniería social la semana pasada. Este ataque ocurrió después de que Unchained Capital cerrara su cuenta AC y solicitara que se purgaran todos los datos”.
Tenga en cuenta que el proveedor, ActiveCampaign, no es el mismo que en los siguientes tres casos. Unchained Capital deja en claro que nada de esto fue robado: “información del perfil del cliente que contiene información de identificación personal (por ejemplo, direcciones, SSN, DOB, ID, números de teléfono utilizados en nuestro proceso KYC), números de cuentas bancarias, contraseñas, direcciones de bitcoin, saldos de bitcoin, saldos de préstamos, actividad comercial, extractos de bóveda, extractos de préstamos”.
Por otro lado, los “datos incluían: direcciones de correo electrónico, nombres de usuario, estado de la cuenta (activa/inactiva) y si el cliente tenía una bóveda activa o un préstamo con Unchained Capital (sí o no)”. Y, para algunos usuarios desafortunados, “su nombre, dirección de correo electrónico y dirección IP”
¿Qué deben hacer los usuarios comprometidos?
“Siempre es importante que nuestros clientes sean diligentes en la confirmación de todas las comunicaciones y cualquier solicitud que parezca provenir de Unchained Capital. Dada la fuga de datos, los clientes deben estar en alerta máxima ante cualquier intento de phishing. Tenga especial cuidado al hacer clic en cualquier enlace”.
Gráfico de precios de BTC para el 21/03/2022 en Oanda | Fuente: BTC/USD en TradingView.com
Swan Bitcoin, NYDIG y BlockFi Point en Hubspot
Podríamos ensamblar el mismo comunicado de prensa que Unchained Capital publicó utilizando las comunicaciones de estas tres empresas. La diferencia es que Hubspot es la parte culpable aquí. Una empresa similar a ActiveCampaign, pero una empresa completamente diferente. ¿Hay algo más en esta historia? ¿Alguien está apuntando a estas empresas relacionadas con bitcoin?
Veamos qué podemos aprender de la carta de Swan Bitcoin. Su descripción de la situación menciona a Hubspot cuatro veces en el primer párrafo:
“El 18 de marzo de 2022, uno de nuestros proveedores externos, Hubspot, confirmó que un malhechor obtuvo acceso a los datos de Hubspot después de que la cuenta de un empleado de Hubspot se vio comprometida. Hubspot nos notificó que el compromiso fue para una parte de su plataforma que incluía datos de clientes de Swan”.
Ayer, Hubspot, un proveedor de marketing externo, confirmó que un mal actor dentro de su empresa obtuvo acceso a los datos de marketing de los clientes de Swan.
Lea el correo electrónico de Cory a los clientes en las capturas de pantalla adjuntas para obtener más detalles.
Te mantendremos informado. pic.twitter.com/qtXVk5AOW8
– Cisne Bitcoin (@SwanBitcoin) 19 de marzo de 2022
También describieron el tamaño del daño con palabras reconfortantes: “Usamos Hubspot para comunicaciones limitadas con clientes y datos de marketing. No usamos Hubspot para almacenar información financiera, transacciones u otra información personal o financiera confidencial”. Entonces, nada que ver aquí, ¿verdad?
Miremos a BlockFi, la compañía describe la situación en términos más dramáticos. “Para ser claros, los sistemas internos de BlockFi y los fondos de los clientes están protegidos y no se vieron afectados. También podemos confirmar que las contraseñas de las cuentas de BlockFi, los números de identificación emitidos por el gobierno y los números de seguridad social nunca se almacenaron en Hubspot”.
Estos son los pasos para proteger su presencia en línea de los malos actores de terceros: pic.twitter.com/tOKf16wOuf
– BlockFi (@BlockFi) 19 de marzo de 2022
Y no minimizan tanto el daño:
“Como parte del uso de Hubspot con fines de marketing y CRM, BlockFi almacenó datos que incluían el nombre, el correo electrónico y el número de teléfono de la mayoría de nuestros clientes. Estamos trabajando con Hubspot mientras continúan su investigación para comprender el alcance total del impacto”.
Tampoco NYDIG, que finalizó su comunicado de prensa con un llamado a la acción para los clientes:
“Para protegerse, es importante que ejerza una vigilancia y un cuidado adicionales al revisar o responder correos electrónicos, mensajes de texto y llamadas telefónicas, en particular las relacionadas con NYDIG”.
¿Qué están haciendo Unchained Capital, Swan Bitcoin, NYDIG y BlockFi al respecto?
Para responder a esto, citamos al cofundador de Swan, Yan Pritzker, quien tuiteó:
“Hemos estado trabajando las 24 horas desde el incidente con procedimientos que incluyen una limpieza de datos, la terminación de más datos a terceros y una auditoría completa. Publicaremos un plan integral la próxima semana que incluirá dejar de usar proveedores para el correo electrónico”.
Las empresas emergentes confían en terceros porque sería imposible hacer despegar una empresa si construyes todo tú mismo. Elegimos proveedores con estándares extremadamente altos. Hubspot tenía la certificación soc 2 tipo ii, por ejemplo. Pero claramente es hora de tomar esto en casa.
— Yan Pritzker ? (@skwp) 20 de marzo de 2022
Y, dado que todas las respuestas de la empresa han sido similares, esperamos que sus procedimientos de seguridad también lo sean. Sin embargo, quedan algunas preguntas candentes. ¿Estas empresas fueron atacadas? ¿Estaban los malos actores precisamente buscando la información que obtuvieron? ¿Oiremos sobre estas filtraciones en el futuro, conectadas a una historia más grande?
Lectura relacionada | La firma de Bitcoin NYDIG recibe una inyección de USD 200 millones de Morgan Stanley y Soros
Si todas las empresas hubieran estado usando un solo servicio, eso sería una cosa. ¿Pero tanto ActiveCampaign como Hubspot? ¿En el mismo día? ¿Apuntando a cuatro empresas relacionadas con bitcoin? Puede haber más en esta historia.
Imagen destacada del Instituto Nacional del Cáncer en Unsplash | Gráficos por TradingView
