Os depositantes da Celsius devem estar atentos a golpes de phishing depois que a empresa revelou que alguns de seus dados de clientes vazaram em uma violação de dados de terceiros.
A Celsius enviou um e-mail a seus clientes informando que uma lista de seus e-mails havia sido vazada por um funcionário de um de seus fornecedores de mensagens e gerenciamento de dados comerciais.
De acordo com Celsius, a violação veio de um engenheiro da plataforma de mensagens Customer.io, que vazou os dados para um agente mal-intencionado de terceiros. Em um e-mail aos clientes, Celsius disse:
“Recentemente, fomos informados por nosso fornecedor Customer.io que um de seus funcionários acessou uma lista de endereços de e-mail de clientes Celsius.”
A violação de dados faz parte da mesma incursão que vazou os endereços de e-mail de clientes da OpenSea em junho. A Celsius, no entanto, minimizou o incidente afirmando que não “apresentou nenhum risco alto para nossos clientes”, acrescentando que eles apenas queriam que os usuários “ficassem cientes”.
Em 7 de julho, o Customer.io escreveu em uma postagem:
“Sabemos que isso foi resultado das ações deliberadas de um engenheiro sênior que tinha um nível apropriado de acesso para desempenhar suas funções e forneceu esses endereços de e-mail ao mau ator”.
O funcionário já foi demitido. O número de e-mails vazados não foi divulgado, nem a plataforma para a qual eles vazaram.
No entanto, a comunidade de criptomoedas começou a alertar os usuários do Celsius sobre ataques de phishing que geralmente seguem uma violação de dados de e-mail.
Phishing é uma forma de engenharia social na qual e-mails direcionados são enviados para atrair as vítimas a revelar mais dados pessoais ou clicar em links para sites maliciosos que instalam malware para roubar ou minerar criptomoedas.
⚠️ Celsius users should expect phishing emails along the lines of "Verify your wallet to withdraw your funds" that will phish for your SRP/PKey due to this
Remember, your SRP should only be known to you and you only https://t.co/QYuDhEE7aL
— harry.eth 🦊💙 (whg.eth) (@sniko_) July 28, 2022
Uma violação de dados semelhante em abril de 2021 viu os clientes da Celsius serem alvo de um site fraudulento que alegava ser a plataforma oficial da Celsius. Alguns receberam SMS e e-mails solicitando que revelassem informações pessoais.
Na época, a empresa informou que hackers obtiveram acesso a um sistema de distribuição de e-mail de terceiros que ela usa.
Talvez a violação de dados mais famosa tenha sido do provedor de carteira de hardware Ledger, que teve seus servidores invadidos em 2020. A divulgação de milhares de detalhes pessoais de clientes na Internet resultou em perdas incalculáveis e até ameaças físicas para muitas vítimas, mas a empresa se recusou a compensá-los.
