Crypto banking-portal BlockFi zegt dat persoonlijke gegevens van gebruikers, waaronder namen, e-mails en telefoonnummers, het afgelopen weekend het doelwit waren nadat hackers de beveiliging van zijn CRM- en marketingplatformprovider HubSpot hadden geschonden.

Bitcoin-aankoopplatform Swan Bitcoin en crypto-hedgefonds Pantera Capital leden ook onder de gerichte aanval. 

As gerapporteerd door Security Week, een "slechte acteur" erin geslaagd om de controle over een HubSpot-medewerkersaccount op vrijdag. Dit gaf hen toegang tot gegevens van een aantal klanten van het in Massachusetts gevestigde bedrijf.

Het in New Jersey gevestigde BlockFi ging naar Twitter om gebruikers gerust te stellen dat, terwijl HubSpot klantnamen en e-mailadressen opslaat, gevoeligere gegevens elders worden bewaard. Dit omvat accountwachtwoorden en burgerservicenummers.

HubSpot zegt dat het het betreffende account heeft verwijderd zodra het de aanval ontdekte. Het sloot ook een aantal andere privileges van werknemersaccounts af. Het bedrijf zegt dat minder dan 30 portals lopen gevaar.

"Sommige medewerkers hebben toegang tot HubSpot-accounts", zegt HubSpot (via Security Week). “Hierdoor kunnen medewerkers zoals accountmanagers en supportspecialisten klanten helpen.”

"In dit geval kon een slechte acteur een werknemersaccount compromitteren en deze toegang gebruiken om contactgegevens van een klein aantal HubSpot-accounts te exporteren."

BlockFi bereikte een record schikking van $ 100 miljoen vorige maand met de Amerikaanse Securities and Exchange Commission (SEC) en 32 Amerikaanse staten, voor het aanbieden van niet-geregistreerde effecten via haar crypto-aangedreven spaarrekeningen.

Het kan een rechtszaak aanspannen tegen honderdduizenden gebruikers wegens vermeende niet-kennisgeving van de daaraan verbonden risico's.

BlockFi-gebruikers niet alleen

Een medewerker van crypto exchange Coinbase kreeg vorig jaar te maken met een ‘social engineering’ phishing-aanval. Hackers maakten misbruik van een spleet in het herstelproces voor sms-accounts van het bedrijf.

Dit gaf hen een tweefactorauthenticatietoken en toegang tot 6,000 Coinbase-accounts - en hun geld.

Lees verder: [Geef Coinbase niet de schuld van enorme social engineering-hack, zegt Coinbase]

Volgens Coinbase moeten de aanvallers "voorkennis hebben gehad van het e-mailadres, wachtwoord en telefoonnummer dat aan een specifiek account is gekoppeld".

Ze zouden ook toegang nodig hebben gehad tot een persoonlijke e-mailinbox.

Volg ons op Twitter voor meer geïnformeerd nieuws.

Nu verkrijgbaar: de eerste vier afleveringen van onze doorlopende onderzoekende podcastserie Geïnnoveerd: Blockchain City.