Data Klien Celcius Bocor dalam Pelanggaran yang Sama dengan OpenSea

Menurut komunitas Celsius, perusahaan tersebut diduga telah menghubungi pengguna untuk memberi tahu mereka tentang pelanggaran data yang secara langsung memengaruhi mereka yang dapat dengan mudah mengarah pada upaya phishing.

Satu Karyawan Tidak Puas, Dua Milis

Pelanggaran itu dilaporkan diidentifikasi pada 30 Juni, bersamaan dengan kebocoran data klien OpenSea. Saat itu, Celsius menghubungi Customer.io – perusahaan yang menangani komunikasi pasar untuk OpenSea dan Celsius – yang menyatakan bahwa data klien pemberi pinjaman crypto tidak terpengaruh.

Namun, pada 8 Juli, perwakilan Customer.io diduga menarik kembali pernyataan mereka dan memberi tahu Celsius bahwa beberapa data klien mereka sebenarnya telah dilanggar. Karyawan tersebut telah diberhentikan, dan Customer.io memperbarui pernyataannya tentang insiden tersebut, yang menyatakan bahwa data lima pelanggan lainnya juga telah dicuri.

“Setelah menyelidiki lebih lanjut insiden alamat email OpenSea yang disusupi, kami telah mengetahui hari ini bahwa alamat email dari lima pelanggan lain juga diberikan kepada aktor jahat eksternal yang sama.”

Tampaknya Celsius mungkin salah satu dari lima, karena pengguna turun ke Twitter untuk berbagi tangkapan layar dari email peringatan yang mereka terima.

Upaya Phishing Diharapkan

Menurut tangkapan layar yang dibagikan oleh pengguna Celsius, satu-satunya data klien yang bocor ke pelaku kejahatan adalah daftar alamat email tanpa informasi pengenal pribadi (PII) lainnya.

Celsius dilaporkan tidak memperkirakan adanya ancaman besar terhadap data klien lebih lanjut security. Namun, tim tetap memperingatkan pengguna untuk waspada dan menghubungi dukungan Celsius jika terpengaruh.

“Kami tidak menganggap insiden itu sebagai risiko tinggi bagi klien kami yang alamat emailnya mungkin terpengaruh tetapi merilis komunikasi ini untuk memastikan kalian mengetahuinya.”

Sementara itu, peneliti keamanan siber telah memperingatkan pengguna bahwa kemungkinan email phishing akan mungkin dalam bentuk tautan ke proses verifikasi palsu yang memungkinkan pengguna untuk menarik dana. Namun, agak ironis bahwa meskipun ini akan menjadi sedikit rekayasa sosial yang bagus – terutama karena penarikan Celsius masih dibekukan – penarikan dari platform masih ditangguhkan. Oleh karena itu, agak tidak jelas bagaimana aktor jahat bisa menguras dompet korban yang tidak menaruh curiga.

Namun demikian, insiden tersebut merupakan pengingat penting lainnya bagi semua orang untuk menjaga kunci pribadi mereka tetap aman dan offline dan untuk menghindari tautan berikut atau kode QR yang asal-usulnya tidak dapat dipastikan.

Saat kasus pengadilan Celsius berlanjut, insiden ini kemungkinan akan menjadi pemikiran mengkhawatirkan lainnya di benak pengguna platform.