Transak, un proveedor de pasarela de pago de fiat a cripto, informó un incidente de seguridad que afectó a 92,554 de sus usuarios. Los atacantes obtuvieron acceso no autorizado a una de las computadoras portátiles de los empleados de la empresa mediante un sofisticado ataque de phishing. La empresa dijo que el atacante utilizó credenciales comprometidas para iniciar sesión en el sistema de un proveedor externo de KYC que la empresa utiliza para servicios de verificación y escaneo de documentos. Luego, el atacante pudo obtener acceso a los almacenes de información del usuario dentro del panel del proveedor. Transak dijo que se accedió a información personal, incluidos nombres, fechas de nacimiento, selfies de usuarios y pasaportes y otros documentos de identificación. Los usuarios afectados representan el 1,4% de la base de Transak. Ninguna información financieramente confidencial, incluidas direcciones de correo electrónico, números de teléfono, contraseñas, detalles de tarjetas de crédito o números de Seguro Social, se vio comprometida de ninguna manera, dijo la firma. La compañía explicó que debido a que opera como una plataforma totalmente sin custodia, Transak nunca retiene los fondos de los usuarios, ya sean fiduciarios o criptomonedas, y permanecen seguros y no se ven afectados por dicho ataque. “Nos identificamos profundamente con lo frustrante y decepcionante que debe ser esto para los usuarios afectados. La principal prioridad de nuestra empresa es tomar medidas para proteger a los usuarios y corregir cualquier vulnerabilidad para garantizar que nada como esto vuelva a suceder”, dijo la empresa en un comunicado emitido el 21 de octubre. No hay indicios de que los datos filtrados hayan sido utilizados indebidamente. La empresa se comunicará con los usuarios afectados con consejos y recursos. Transak ha informado a las autoridades de protección de datos pertinentes, incluida la Oficina del Comisionado de Información (ICO) en el Reino Unido y otros reguladores de la UE y EE. UU., y hay revisiones en curso para otros países. La compañía también dijo que está mejorando la capacitación, el software y los sistemas para prevenir ataques de phishing e ingeniería social a los miembros de su equipo y para limitar cualquier acceso o daño si ocurre un ataque.