Os depositantes da Celsius precisam estar alertas contra golpes de phishing, especialmente depois que a empresa revelou que alguns de seus dados de clientes vazaram em uma violação de dados de terceiros.
Na terça-feira, a Celsius enviou um e-mail a seus clientes informando que uma lista de seus e-mails havia sido vazada por um funcionário de um de seus fornecedores de mensagens e gerenciamento de dados comerciais.
De acordo com Celsius, a violação veio de um engenheiro da plataforma de mensagens Customer.io, que vazou os dados para um agente mal-intencionado.
“Recentemente, fomos informados por nosso fornecedor Customer.io que um de seus funcionários acessou uma lista de endereços de e-mail de clientes Celsius”, disse Celsius em seu e-mail aos clientes. A violação de dados faz parte da mesma incursão que vazou os endereços de e-mail de clientes da OpenSea em junho.
Announcement from Celsius: “We are writing to let you know that we
— Celsians (@CelsiansNetwork) July 28, 2022
were recently informed by our vendorhttps://t.co/452EROQtbc that one of their employees
accessed a list of Celsius client email
addresses held on their platform and
transferred those to a third-party.”
A Celsius, no entanto, minimizou o incidente afirmando que não “apresentou nenhum risco alto para nossos clientes”, acrescentando que eles apenas queriam que os usuários “ficassem cientes”.
Em 7 de julho, a Customer.io escreveu em seu blog: “sabemos que isso foi resultado das ações deliberadas de um engenheiro sênior que tinha um nível apropriado de acesso para desempenhar suas funções e forneceu esses endereços de e-mail ao mau ator”. A funcionária já foi demitida.
O número de e-mails vazados não foi divulgado, nem a plataforma para a qual eles foram vazados.
No entanto, a comunidade de criptomoedas começou a alertar os usuários do Celsius sobre ataques de phishing que geralmente seguem uma violação de dados de e-mail.
Phishing é uma forma de engenharia social na qual e-mails direcionados são enviados para atrair as vítimas a revelar mais dados pessoais ou clicar em links para sites maliciosos que instalam malware para roubar ou minerar criptomoedas.
⚠️ Celsius users should expect phishing emails along the lines of "Verify your wallet to withdraw your funds" that will phish for your SRP/PKey due to this
— harry.eth (whg.eth) (@sniko_) July 28, 2022
Remember, your SRP should only be known to you and you only https://t.co/QYuDhEE7aL
Uma violação de dados semelhante em abril de 2021 viu os clientes da Celsius serem alvo de um site fraudulento que alegava ser a plataforma oficial da Celsius. Alguns receberam SMS e e-mails solicitando que revelassem informações pessoais e frases iniciais.
Na época, a empresa informou que hackers obtiveram acesso a um sistema de distribuição de e-mail de terceiros.
Talvez a violação de dados de criptomoedas mais famosa tenha sido do provedor de carteira de hardware Ledger, que teve seus servidores invadidos em 2020. A divulgação de milhares de detalhes pessoais de clientes na Internet resultou em perdas incalculáveis e até ameaças físicas para muitas vítimas, mas a empresa recusou para compensá-los.
