Платформа блокчейн-идентификации Fractal ID страдает от утечки данных

Платформа блокчейн-идентификации Fractal ID пострадала от утечки данных 14 июля, согласно уведомлению, опубликованному на веб-сайте Fractal 17 июля. Партнерами платформы являются платежная система Gnosis Pay, приложение для децентрализованных финансов Acala, проект proof of personality project Polygon ID, платформа социальных сетей Lukso и другие приложения Web3.

В своем заявлении Fractal не указала, какие партнеры пострадали от взлома, если таковые были. Некоторые пользователи X сообщили о получении электронных писем от команды Gnosis Pay, предупреждающих о взломе и призывающих их “быть осторожными с нежелательными сообщениями”.

Fractal заявила, что нарушение затронуло только “примерно 0,5% базы пользователей Fractal ID”.

Согласно уведомлению, “Третья сторона, внешняя по отношению к Fractal ID, получила несанкционированный доступ к учетной записи оператора и запустила скрипт API, который запустился в 05: 14 утра по Гринвичу для доступа к личным данным пользователей”. Как только команда заметила нарушение, они “предприняли действия по выходу злоумышленника из системы к 07: 29 утра по Гринвичу”. Таким образом, атака, по-видимому, происходила в течение двух часов 14 минут.

В уведомлении говорится, что только ограниченное количество учетных записей хранили данные в учетной записи этого конкретного оператора, что составляет всего 0,5% от общей базы пользователей Fractal. Для этих конкретных пользователей данные, которые потенциально подверглись утечке, “могут включать имена, адреса электронной почты, адреса кошельков, номера телефонов, физические адреса, изображения загруженных документов”.

Fractal заявила, что нарушение не повлияло на системы или продукты клиентов, поскольку оно “содержалось в среде [Fractal]”. Тем не менее, затронутые пользователи должны быть “осторожны с нежелательными сообщениями, запрашивающими дополнительную личную информацию”, - говорится в уведомлении.

Разработчик Web3 Пауло Фонсека опубликовал изображение электронного письма, которое, как сообщается, было отправлено некоторым пользователям GnosisPay. “В 19: 30 по Центральноевропейскому времени в понедельник, 15 июля 2024 года, наш поставщик услуг "Знай своего клиента" (KYC) Fractal ID уведомил команду Gnosis Pay о том, что в воскресенье, 14 июля 2024 года, произошла утечка данных”, - говорится в электронном письме.

Информация о получателе электронного письма “не была частью данных, к которым был получен доступ”, - заявлено в нем. Несмотря на это, он предупредил пользователя “быть осторожным с нежелательными сообщениями, запрашивающими дополнительную личную информацию”.

Большинство юрисдикций требуют, чтобы криптовалютные биржи или платежные провайдеры записывали и хранили информацию "знай своего клиента" (KYC) о каждом клиенте, которого они обслуживают. Эта информация может включать изображения документов, удостоверяющих личность пользователей, имена, физические адреса, электронные письма и другие конфиденциальные данные. Сторонники требований KYC утверждают, что такая практика необходима для предотвращения отмывания денег, в то время как критики утверждают, что это создает риск утечки персональных данных.

27 июня провайдер crypto ID Autix10 объявил, что его учетные данные администратора были утечены в Интернет. Но в этом случае злоумышленник, похоже, не получил никаких реальных данных клиента. 3 июля приложение для двухфакторной аутентификации Authy также подверглось утечке данных, в результате чего произошла утечка телефонных номеров пользователей.