A operadora de caixas eletrônicos de criptomoedas Bitcoin Depot notificou seus usuários apenas agora sobre uma violação de dados ocorrida em meados do ano passado, que expôs informações privadas de quase 27.000 clientes.
Em um comunicado enviado a clientes e protocolado junto às procuradorias-gerais dos estados do Maine e Massachusetts na segunda-feira, a Bitcoin Depot informou que os dados de um total de 26.732 usuários foram comprometidos por uma “violação externa do sistema” ocorrida em 23 de junho de 2024.
Um porta-voz da Bitcoin Depot disse ao Cointelegraph que “a pedido das autoridades federais, fomos orientados a adiar a notificação devido a uma investigação ativa sobre o terceiro responsável pela violação”.
O comunicado da empresa informou que, em 13 de junho, as autoridades indicaram que a investigação havia sido concluída, e o porta-voz acrescentou que a empresa foi “recentemente autorizada a começar a notificar os afetados”.
Empresas de cripto e tecnologia são frequentemente alvo de hackers, que, apenas neste ano, já expuseram mais de 16 bilhões de credenciais de login de serviços online populares, descobertas no fim de junho, e roubaram dados de usuários da exchange de criptomoedas Coinbase em maio.
Nomes e endereços expostos, mas “sem evidências” de uso indevido
A Bitcoin Depot afirmou em seu comunicado que a violação envolveu nome, número de telefone, número da carteira de motorista e possivelmente endereço, data de nascimento e e-mail dos clientes.
“Não há evidências de uso indevido das informações dos clientes”, disse o porta-voz da empresa. “Continuamos comprometidos com a proteção dos dados e da privacidade dos clientes.”
A empresa orientou os clientes a monitorarem seus relatórios de crédito, reportarem qualquer atividade suspeita e criarem alertas de fraude e bloqueios de segurança junto a agências de crédito, que instruem os credores a tomarem precauções adicionais antes de abrir ou modificar contas em nome do consumidor.
Hacker invadiu o sistema da Bitcoin Depot
O porta-voz da Bitcoin Depot afirmou que, em junho de 2024, a empresa “detectou uma atividade incomum em sua rede e imediatamente iniciou uma investigação com uma empresa líder em segurança cibernética”.
Em 18 de julho de 2024, a empresa de segurança concluiu a investigação e “confirmou que uma parte não autorizada acessou arquivos contendo informações pessoais de determinados clientes”, segundo o porta-voz e o comunicado ao cliente.
A empresa não forneceu mais detalhes, mas afirmou em seu comunicado que está cooperando com as autoridades no caso e “adotou medidas para evitar recorrência, aprimorando os mecanismos e monitoramentos de segurança e ampliando a conscientização da empresa sobre proteção de dados”.
Série de vazamentos de dados
Hackers já haviam mirado operadoras de caixas eletrônicos de criptomoedas anteriormente. A Byte Federal revelou em dezembro uma violação de dados que pode ter afetado 58.000 clientes, após a exploração de uma vulnerabilidade em um software fornecido por terceiros.
A empresa informou que desligou imediatamente sua plataforma e garantiu que nenhum ativo ou fundo de usuários foi comprometido.
A Coinbase também informou, em maio, que foi alvo de agentes mal-intencionados no início do ano, os quais teriam subornado contratados terceirizados da exchange para obter informações dos clientes.
A empresa afirmou que rejeitou uma exigência de resgate de US$ 20 milhões após os hackers vazarem dados de usuários em meados de maio.