വാർത്തകൾ

പ്രധാന ക്രിപ്‌റ്റോ ഭീമനായ Kraken സുരക്ഷാ ലംഘനത്തിന് ശേഷം ഭീഷണിപ്പെടുത്തി പണം തട്ടാൻ ശ്രമിക്കുന്നവർക്ക് വഴങ്ങില്ലെന്ന് വ്യക്തമാക്കി

എഴുതിയത്CryptoGambling.com 3 മിനിറ്റ് വായന
പ്രധാന ക്രിപ്‌റ്റോ ഭീമനായ Kraken സുരക്ഷാ ലംഘനത്തിന് ശേഷം ഭീഷണിപ്പെടുത്തി പണം തട്ടാൻ ശ്രമിക്കുന്നവർക്ക് വഴങ്ങില്ലെന്ന് വ്യക്തമാക്കി

Kraken, ലോകത്തിലെ ഏറ്റവും പഴയതും പ്രമുഖവുമായ ക്രിപ്‌റ്റോകറൻസി എക്‌സ്‌ചേഞ്ചുകളിൽ ഒന്നായ ഇവർ, തങ്ങളുടെ ഉപഭോക്താക്കളുടെ സെൻസിറ്റീവ് വിവരങ്ങൾ ചോർത്തുമെന്ന് ഭീഷണിപ്പെടുത്തുന്ന ഒരു സംഘം പിടിച്ചുപറിക്കാരുടെ ഭീഷണിക്ക് വഴങ്ങില്ലെന്ന നിലപാടിൽ ഉറച്ചുനിൽക്കുന്നു. അനധികൃത ഇൻസൈഡർ ആക്‌സസുമായി ബന്ധപ്പെട്ട ഒരു സുരക്ഷാ വീഴ്ചയെത്തുടർന്ന്, ബ്ലാക്ക്‌മെയിൽ ചെയ്യാൻ ശ്രമിക്കുന്ന വ്യക്തികളുമായി ചർച്ച നടത്തുകയോ പണം നൽകുകയോ ചെയ്യില്ലെന്ന് എക്‌സ്‌ചേഞ്ച് പരസ്യമായി പ്രഖ്യാപിച്ചു.

മനുഷ്യസഹജമായ വീഴ്ചകൾ ഡിജിറ്റൽ സുരക്ഷാ സംവിധാനങ്ങളിലെ ഏറ്റവും ദുർബലമായ കണ്ണിയായി മാറുന്ന ക്രിപ്‌റ്റോ വ്യവസായത്തിലെ നിലനിൽക്കുന്ന അപകടസാധ്യതകളെയാണ് ഈ സംഭവം എടുത്തുകാണിക്കുന്നത്. റിപ്പോർട്ടുകൾ പ്രകാരം, സപ്പോർട്ട് സ്റ്റാഫുമായി ബന്ധപ്പെട്ട "ഇൻസൈഡർ ആക്‌സസ് ഇൻസിഡന്റുകളിൽ" നിന്നാണ് ഈ വീഴ്ച ഉണ്ടായത്, ഇത് ആക്രമണകാരികൾക്ക് ചില അഡ്മിനിസ്ട്രേറ്റീവ് സംവിധാനങ്ങളിലേക്ക് പ്രവേശനം ലഭിക്കാൻ വഴിയൊരുക്കി.

ഭീഷണിപ്പെടുത്തലുമായി ബന്ധപ്പെട്ട വിവരങ്ങൾ

സെൻസിറ്റീവ് ആയ ഉപഭോക്തൃ വിവരങ്ങൾ തങ്ങളുടെ കൈവശമുണ്ടെന്നും, മോചനദ്രവ്യം നൽകിയില്ലെങ്കിൽ ഈ വിവരങ്ങൾ പുറത്തുവിടുമെന്നും ഭീഷണിപ്പെടുത്തുന്നവർ അവകാശപ്പെടുന്നതായി റിപ്പോർട്ടുണ്ട്. ചോർന്ന വിവരങ്ങളുടെ കൃത്യമായ വ്യാപ്തിയും സ്വഭാവവും പൊതുജനങ്ങൾക്ക് മുന്നിൽ വെളിപ്പെടുത്തിയിട്ടില്ലെങ്കിലും, സുരക്ഷയ്ക്കും നിയന്ത്രണങ്ങൾ പാലിക്കുന്നതിനും മുൻഗണന നൽകുന്ന ഒരു പ്ലാറ്റ്‌ഫോമിന് "ക്ലയന്റ് ഡാറ്റ ചോർച്ച" എന്നത് വലിയ ആശങ്കയാണ്.

Kraken നേതൃത്വം തങ്ങളുടെ നിലപാടിൽ ഉറച്ചുനിൽക്കുന്നു. "ഞങ്ങൾ ഈ ക്രിമിനലുകൾക്ക് പണം നൽകില്ല," എന്ന് എക്‌സ്‌ചേഞ്ച് വ്യക്തമാക്കി. മോചനദ്രവ്യം നൽകുന്നത് കൂടുതൽ ആക്രമണങ്ങൾക്ക് പ്രേരിപ്പിക്കുമെന്ന ദീർഘകാല വ്യവസായ നിലപാടിനെ ഇത് അടിവരയിടുന്നു. ഈ പരസ്യമായ നിലപാടിലൂടെ, വർഷങ്ങളായി ഡിജിറ്റൽ ആസ്തി മേഖലയെ വേട്ടയാടുന്ന "എക്‌സ്‌ടോർഷൻ-ആസ്-എ-സർവീസ്" (extortion-as-a-service) മാതൃകയെ നിരുത്സാഹപ്പെടുത്താനാണ് Kraken ലക്ഷ്യമിടുന്നത്.

ഇൻസൈഡർ ആക്‌സസും സുരക്ഷാ പ്രോട്ടോക്കോളുകളും

സപ്പോർട്ട് സ്റ്റാഫ് വഴിയുള്ള ഇൻസൈഡർ ആക്‌സസ് ഉൾപ്പെടുന്നതിനാൽ ഈ ലംഘനം കൂടുതൽ ആശങ്കാജനകമാണ്. Kraken-ന്റെ പ്രാഥമിക ക്രിപ്‌റ്റോഗ്രാഫിക് പ്രതിരോധങ്ങളോ കോൾഡ് സ്റ്റോറേജ് പ്രോട്ടോക്കോളുകളോ അല്ല ആക്രമണകാരികൾ മറികടന്നത്, മറിച്ച് ആന്തരിക പ്രവർത്തനരീതികളെയാണ് (internal workflows) അവർ ചൂഷണം ചെയ്തതെന്ന് ഇത് സൂചിപ്പിക്കുന്നു.

സോഷ്യൽ എൻജിനീയറിംഗോ താഴ്ന്ന തലത്തിലുള്ള അഡ്മിനിസ്ട്രേറ്റീവ് ക്രെഡൻഷ്യലുകൾ ചോരുന്നതോ ആണ് കേന്ദ്രീകൃത എക്‌സ്‌ചേഞ്ചുകൾക്ക് നേരെയുള്ള പ്രധാന ആക്രമണ രീതി. Kraken-നെ ലിക്വിഡിറ്റിക്കായി ഉപയോഗിക്കുന്ന ക്രിപ്‌റ്റോ നിക്ഷേപകർക്കും വ്യാപാരികൾക്കും, പ്ലാറ്റ്‌ഫോം സുരക്ഷ എന്നത് ബ്ലോക്ക്‌ചെയിനിനപ്പുറം വ്യാപിക്കുന്ന ഒന്നാണെന്ന ഓർമ്മപ്പെടുത്തലാണ് ഈ സംഭവം. ഉപഭോക്തൃ സേവനവും ഹ്യൂമൻ റിസോഴ്‌സും ഉൾപ്പെടെയുള്ള മുഴുവൻ കോർപ്പറേറ്റ് ഇൻഫ്രാസ്ട്രക്ചറും ഇതിൽ ഉൾപ്പെടുന്നു.

ഈ വീഴ്ചയുമായി ബന്ധപ്പെട്ട പ്രധാന കാര്യങ്ങൾ:

  • സപ്പോർട്ട്-ടയർ ക്രെഡൻഷ്യലുകൾ വഴി നടന്ന അനധികൃത പ്രവേശനമാണ് ഈ സംഭവത്തിന് തുടക്കമിട്ടത്.
  • പണം നേരിട്ട് മോഷ്ടിക്കുന്നതിനേക്കാൾ, ഭീഷണിപ്പെടുത്തി പണം തട്ടാനായി വിവരങ്ങൾ ചോർത്തുന്നതിലാണ് (data exfiltration for extortion) ആക്രമണകാരികൾ ശ്രദ്ധ കേന്ദ്രീകരിച്ചത്.
  • Kraken-ന്റെ പ്രധാന എക്‌സ്‌ചേഞ്ച് എൻജിനും അസറ്റ് സ്റ്റോറേജ് സംവിധാനങ്ങളും ബാധിക്കപ്പെട്ടതായി കാണുന്നില്ല.

വ്യാപാരികൾക്കും നിക്ഷേപകർക്കും ശ്രദ്ധിക്കാൻ (Actionable Insights)

Kraken ഉപഭോക്താക്കളുടെ ഫണ്ട് സുരക്ഷിതമാണെന്ന് വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിലും, ഡാറ്റ ചോർച്ച മറ്റൊരു തരത്തിലുള്ള അപകടസാധ്യത ഉയർത്തുന്നു—അതായത്, ടാർഗെറ്റുചെയ്‌ത ഫിഷിംഗും ഐഡന്റിറ്റി മോഷണവും. കേന്ദ്രീകൃത പ്ലാറ്റ്‌ഫോമുകൾ ഉപയോഗിക്കുന്നവർ തങ്ങളുടെ സ്വകാര്യ സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനായി അടിയന്തര നടപടികൾ സ്വീകരിക്കണം.

Kraken ഉപയോഗിച്ച് ക്രിപ്‌റ്റോ ഗെയിംബ്ലിംഗ് സൈറ്റുകളിലേക്കോ പേഴ്സണൽ വാലറ്റുകളിലേക്കോ ഫണ്ട് കൈമാറ്റം ചെയ്യുന്നവർക്കായി താഴെ പറയുന്ന മുൻകരുതലുകൾ ശുപാർശ ചെയ്യുന്നു:

  1. ക്രെഡൻഷ്യലുകൾ മാറ്റുക: പാസ്‌വേഡുകൾ ഉടനടി അപ്‌ഡേറ്റ് ചെയ്യുക. ടൂ-ഫാക്ടർ ഓതന്റിക്കേഷൻ (2FA) എന്നത് SMS-ന് പകരം ഹാർഡ്‌വെയർ കീ അല്ലെങ്കിൽ Google Authenticator പോലെയുള്ള ടൈം-ബേസ്ഡ് വൺ-ടൈം പാസ്‌വേഡ് (TOTP) ആപ്പ് ഉപയോഗിച്ച് ഉറപ്പാക്കുക.
  2. ആശയവിനിമയം നിരീക്ഷിക്കുക: Kraken സപ്പോർട്ടിൽ നിന്നാണെന്ന് അവകാശപ്പെടുന്ന ഇമെയിലുകൾ അല്ലെങ്കിൽ സന്ദേശങ്ങൾ ശ്രദ്ധിക്കുക. ചോർത്തിയെടുത്ത വിവരങ്ങൾ ഉപയോഗിച്ച് വിശ്വസനീയമെന്ന് തോന്നുന്ന ഫിഷിംഗ് സന്ദേശങ്ങൾ നിർമ്മിക്കാൻ സാധ്യതയുണ്ട്.
  3. സബ്-അക്കൗണ്ടുകൾ ഉപയോഗിക്കുക: വലിയ തുക കൈകാര്യം ചെയ്യുന്നവർ, വിവിധ പ്രവർത്തനങ്ങൾക്കായി സബ്-അക്കൗണ്ടുകളോ പ്രത്യേക വാലറ്റുകളോ ഉപയോഗിക്കുന്നത് റിസ്ക് കുറയ്ക്കാൻ സഹായിക്കും.

ഇൻസ്റ്റിറ്റ്യൂഷണൽ പ്രതികരണവും വിപണിയിലെ സ്വാധീനവും

എക്‌സ്‌ചേഞ്ച് സുരക്ഷയുമായി ബന്ധപ്പെട്ട വാർത്തകളോട് ക്രിപ്‌റ്റോ വിപണി മുൻകാലങ്ങളിൽ രൂക്ഷമായി പ്രതികരിച്ചിട്ടുണ്ട്. എന്നിരുന്നാലും, Kraken-ന്റെ സുതാര്യതയും "പണം നൽകില്ല" എന്ന ഉറച്ച നിലപാടും പരിഭ്രാന്തി ലഘൂകരിക്കാൻ സഹായിച്ചു. കുറ്റവാളികളുടെ ആവശ്യങ്ങൾക്ക് വഴങ്ങില്ലെന്ന് പ്രഖ്യാപിക്കുന്നതിലൂടെ, ഹ്രസ്വകാല പരിഹാരങ്ങളേക്കാൾ ദീർഘകാല സുരക്ഷയ്ക്ക് മുൻഗണന നൽകുന്ന പ്രതിരോധശേഷിയുള്ള സ്ഥാപനമായി Kraken സ്വയം മാറുന്നു.

എല്ലാ പ്രമുഖ എക്‌സ്‌ചേഞ്ചുകളിലും "സപ്പോർട്ട് സ്റ്റാഫ് പെർമിഷനുകൾ" സംബന്ധിച്ച കൂടുതൽ സമഗ്രമായ പരിശോധനയ്ക്ക് ഈ സംഭവം കാരണമാകുമെന്ന് വ്യവസായ വിദഗ്ധർ അഭിപ്രായപ്പെടുന്നു. ക്രിപ്‌റ്റോ വ്യവസായം വളരുമ്പോൾ, "പ്രൈവറ്റ് കീകൾ" സംരക്ഷിക്കുന്നതിൽ നിന്ന് ശ്രദ്ധ മാറി, തിരശ്ശീലയ്ക്ക് പിന്നിലുള്ള ഡാറ്റാബേസുകളിലേക്ക് ആക്‌സസ് ഉള്ള ജീവനക്കാരായ "ഹ്യൂമൻ കീകളെ" സംരക്ഷിക്കുന്നതിലേക്ക് ശ്രദ്ധ മാറുകയാണ്.

ആന്തരിക അന്വേഷണം പൂർത്തിയാക്കുന്നതിന് കൃത്യമായ സമയപരിധി Kraken നൽകിയിട്ടില്ലെങ്കിലും, കുറ്റവാളികളെ കണ്ടെത്തുന്നതിനായി നിയമപാലകരുമായി സഹകരിച്ച് പ്രവർത്തിക്കുന്നുണ്ടെന്ന് കമ്പനി അറിയിച്ചു. നിലവിൽ, എക്‌സ്‌ചേഞ്ച് സാധാരണ നിലയിൽ പ്രവർത്തിക്കുന്നുണ്ടെങ്കിലും, സാഹചര്യം മാറുന്നതനുസരിച്ച് ഔദ്യോഗിക ചാനലുകൾ വഴി വിവരങ്ങൾ അറിയാൻ ഉപയോക്താക്കളെ പ്രോത്സാഹിപ്പിക്കുന്നു.