Pelaku ancaman dikabarkan sedang menjual akses baca-saja ke panel admin internal Kraken di forum dark web.
Insiden ini memicu kekhawatiran soal kemungkinan bocornya data pengguna dan risiko serangan phishing yang ditargetkan.
SponsoredAdmin Panel Dijual: Klaim Dark Web Mempertanyakan Keamanan Kraken
Berdasarkan keterangan Dark Web Informer, listing tersebut menawarkan kemampuan untuk melihat profil pengguna, riwayat transaksi, dan dokumen KYC lengkap. Ini mencakup KTP, foto selfie, bukti alamat, serta informasi asal dana.
Sang penjual mengklaim akses bisa berlangsung satu hingga dua bulan, dilindungi proxy tanpa pembatasan IP, serta termasuk fitur pembuatan tiket dukungan.
Listing tersebut langsung menimbulkan kekhawatiran di kalangan profesional keamanan, walaupun sebagian pengguna online tetap skeptis.
“Almost certainly fake,” salah satu pengguna ujar, menyoroti ketidakpastian tentang keaslian akses tersebut.
Pihak lain memperingatkan jika ini benar, maka kebocoran data bisa membuat pelanggan Kraken menghadapi risiko besar, sehingga exchange dan aparat penegak hukum perlu segera menyelidikinya.
Sponsored Sponsored“If this is genuine, it’s a major data‑exposure and phishing risk for Kraken customers. Kraken’s security and law enforcement teams need to be on this immediately,” pengguna lain papar.
Fitur ini memang bisa dimanfaatkan untuk serangan rekayasa sosial yang sangat meyakinkan. Kraken belum langsung memberikan tanggapan terhadap permintaan komentar dari BeInCrypto.
Akses Read-Only Tidak Selalu Aman: CIFER Ungkap Risiko Paparan Panel Kraken
CIFER Security menegaskan bahwa akses baca-saja saja bisa membawa konsekuensi serius. Walau pelaku tidak bisa langsung mengubah akun, mereka bisa memanfaatkan fitur tiket dukungan untuk:
- Menyamar sebagai staf Kraken,
- Menggunakan detail transaksi asli untuk membangun kepercayaan, dan
- Menargetkan pengguna nilai tinggi yang teridentifikasi lewat riwayat transaksi.
Akses penuh ke pola trading, alamat wallet, serta perilaku deposit atau penarikan, memberikan informasi intelijen kepada pelaku ancaman untuk melancarkan phishing, SIM swap, hingga credential stuffing, sehingga ancaman meluas melampaui sekadar paparan akun.
Kompromi panel admin bukanlah hal baru di industri aset kripto. Exchange seperti Mt. Gox (2014), Binance (2019), KuCoin (2020), Crypto.com (2022), dan FTX (2022) semuanya pernah menghadapi serangan yang menargetkan sistem internal. Hal ini menunjukkan bahwa alat terpusat dengan akses hak istimewa tinggi tetap menjadi incaran utama.
Paparan yang dilaporkan Kraken sejalan dengan pola luas ini, menyoroti tantangan berkelanjutan dalam mengamankan akses istimewa di sektor layanan keuangan.
Apa yang Harus Dilakukan Pengguna Kraken?
CIFER Security merekomendasikan untuk mengasumsikan potensi terjadinya kebocoran dan langsung mengambil langkah perlindungan. Ini termasuk:
- Mengaktifkan autentikasi dengan kunci hardware,
- Mengaktifkan penguncian pengaturan global,
- Melakukan whitelist untuk alamat penarikan, dan
- Berhati-hati secara ekstra ketika merespons komunikasi dari support.
Pengguna juga sebaiknya memantau tanda-tanda serangan SIM swap, reset password mencurigakan, serta ancaman tertarget lainnya, dan mempertimbangkan untuk memindahkan aset yang signifikan ke hardware wallet atau ke alamat baru yang tidak tercantum di riwayat transaksi yang mungkin bocor.
Insiden ini menyoroti risiko bawaan dari kustodian terpusat. Exchange, secara desain, mengumpulkan data sensitif pelanggan di panel admin sehingga menjadi titik kegagalan tunggal.
Seperti yang terang CIFER, arsitektur yang lebih kuat menerapkan akses berbasis peran, izin just-in-time, data masking, perekaman sesi, dan privilese kosong permanen agar dampak kebocoran bisa diminimalkan.
Jika laporan ini benar, Kraken memang harus segera mengidentifikasi sumber akses tersebut, baik dari kredensial yang bocor, tindakan orang dalam, pihak ketiga, maupun pembajakan sesi.
Dan sekali lagi, jika laporan ini benar, langkah yang bisa diambil seperti mengganti seluruh kredensial admin, mengaudit log akses, dan berkomunikasi secara transparan dengan pengguna.
Respons cepat dan transparan bisa menjaga kepercayaan, apalagi di tengah risiko terpusat yang bertentangan dengan janji desentralisasi dari aset kripto.
