Crypto.com révèle que les données des utilisateurs ont été piratées mais "délibérément dissimulées", réponse officielle: aucune base factuelle

L'échange de crypto-monnaie Crypto.com a été dévoilé par Bloomberg: Crypto.com avait déjà été attaqué par le groupe de hackers Scattered Spider, mais Crypto.com était soupçonné d'avoir délibérément dissimulé l'attaque, ce qui a amené la communauté à remettre en question la transparence de Crypto.com.
(Nouvelles préliminaires: Trump Truth Social intègre les jetons CRO: les "Truth Gemstones" peuvent être directement échangés contre des $CRO, et le prix de la devise augmente en conséquence)
(Supplément de fond: News Flash> Trump Media coopère avec Crypto.com pour créer une société de trésorerie CRO! Prévoit de réserver 6,42 milliards de dollars. Le prix de la devise $CRO grimpe de 33%)

Selon "Bloomberg", rapporte que l'organisation de hackers Noah Urban, membre de Scattered Spider, a révélé que le groupe avait envahi l'échange de crypto-monnaie Crypto.com par le biais d'une attaque de phishing au début de 2023, entraînant la fuite des informations personnelles de certains utilisateurs. Cependant, cet incident n’a jamais été divulgué publiquement auparavant et est soupçonné d’avoir été délibérément dissimulé par Crypto.com, soulevant des questions sur la transparence de Crypto.com.

Scattered Spider a attaqué Crypto.com

Des rapports ont souligné que Scattered Spider est un groupe de hackers composé d'adolescents et que Noah Urban, un jeune de Floride de 18 ans, en est la figure clé. Le groupe est connu pour ses techniques d’ingénierie sociale et sait usurper l’identité du personnel de sécurité informatique pour inciter les cibles à révéler des informations sensibles. Début 2023, Scattered Spider a utilisé une attaque de phishing pour accéder avec succès au compte d'un employé de Crypto.com, divulguant ainsi les informations personnelles identifiables (PII) d'un petit nombre d'utilisateurs. L'attaque a été menée après que le groupe a réussi à pénétrer dans la plateforme de messagerie Twilio et à utiliser les codes de vérification des clients et les identifiants d'accès obtenus auprès de 209 entreprises pour cibler davantage les employés de Crypto.com.

Le rapport poursuit en indiquant que les méthodes criminelles de Scattered Spider ont évolué depuis les premiers échanges de cartes SIM jusqu'à des opérations de pénétration complexes ciblant les grandes entreprises. Noah Urban apprend l'échange de cartes SIM dans la communauté des joueurs de Minecraft depuis l'âge de 15 ans et a facilement trompé les employés des entreprises de télécommunications grâce à sa voix grave et ses talents d'ingénierie sociale. Avec la fermeture des écoles pendant la pandémie de COVID-19, Urban a élargi son réseau criminel. Il a personnellement utilisé les recettes des crypto-monnaies pour acheter des produits de luxe, notamment une Rolex incrustée de diamants d'une valeur de 35 000 $ et un nom d'utilisateur Minecraft d'une valeur de 80 000 $.

Réponse officielle de Crypto.com

En réponse au rapport de Bloomberg, un porte-parole de Crypto.com a répondu que Crypto.com avait détecté une attaque de phishing contre un employé en 2023 et avait contrôlé l'incident en quelques heures. L'incident n'a affecté que les informations personnelles d'un « très petit nombre de personnes » et les fonds des clients n'ont pas été affectés et n'ont jamais été menacés.

Le porte-parole a en outre souligné que Crypto.com avait soumis un « dossier de notification d'incident de sécurité des données » au système national de licences multi-États (NMLS) des États-Unis et l'avait signalé aux agences de réglementation des juridictions compétentes, niant l'allégation de dissimulation de l'incident.

En outre, Kris Marszalek, PDG de Crypto.com, a également répondu sur la plateforme X, qualifiant les accusations d'incidents de sécurité non divulgués de "complètement sans fondement" et accusant "la diffusion d'informations trompeuses provenant de sources inconnues". Il a réitéré que Crypto.com avait signalé l'incident aux États-Unis et aux agences de réglementation compétentes conformément à la loi.

Je souhaite répondre directement et clairement à certaines informations erronées provenant de sources non informées…
Toute suggestion selon laquelle nous n'avons pas signalé ou divulgué un incident de sécurité est totalement infondée – comme nous l'avons signalé dans un avis d'incident de sécurité des données du NMLS et dans d'autres…

— Kris | Crypto.com (@kris) 22septembre2025

Cependant, Crypto.com n'a pas encore précisé s'il avait informé les utilisateurs concernés et s'il avait divulgué le contenu du dépôt aux agences de réglementation, de sorte qu'il n'a pas encore dissipé les préoccupations externes. L'équipe de sécurité de la blockchain, ZachXBT, a également critiqué publiquement Crypto.com sur la plateforme X après le rapport de Bloomberg, affirmant qu'elle "avait dissimulé des fuites affectant les informations personnelles des utilisateurs" et que l'échange "avait été piraté à plusieurs reprises".

Il convient de noter que cet incident survient à un moment où Crypto.com est en pleine expansion. L'échange avait déjà atteint une coopération de 6,42 milliards de dollars en matière de trésorerie d'actifs numériques avec Trump Media Technology Group, et la plate-forme sociale de Trump Truth Social a également intégré des jetons CRO. De plus, selon certaines rumeurs, Crypto.com envisage d'entrer sur les marchés des paris sportifs et des prévisions d'événements politiques. Cependant, la violation de données non divulguée jette un voile sur la réputation de Crypto.com, en particulier au milieu des récentes fuites de données d'utilisateurs très médiatisées sur des bourses majeures telles que Coinbase.