Blockchain identitní platforma Fractal ID utrpěla 14. července únik dat, podle oznámení zveřejněného na webových stránkách Fractal dne 17. července. Mezi partnery platformy patří platební systém Gnosis Pay, decentralizovaná finanční aplikace Acala, projekt dokladu totožnosti Polygon ID, platforma sociálních médií Lukso a další aplikace Web3. 

Fractal ve svém prohlášení neuvedl, kterých partnerů se porušení dotklo, pokud vůbec nějaké. Někteří uživatelé na X uvedli, že dostávají e-maily od týmu Gnosis Pay, které upozorňují na porušení a varují je, aby si „dávali pozor na nevyžádanou komunikaci“.

Fractal uvedl, že porušení ovlivnilo pouze „přibližně 0,5 % uživatelské základny Fractal ID“.

Podle oznámení „Třetí strana mimo Fractal ID získala neoprávněný přístup k účtu operátora a spustila skript API, který se spustil v 05:14 UTC pro přístup k osobním údajům uživatelů.“ Jakmile tým zaznamenal narušení, „podnikl opatření k odhlášení útočníka ze systému do 07:29 UTC“. Útok tedy zdánlivě proběhl během dvou hodin a 14 minut.

Oznámení uvádí, že pouze omezený počet účtů měl data uložena na účtu tohoto konkrétního operátora, což představuje pouze 0,5 % celkové uživatelské základny Fractal. U těchto konkrétních uživatelů mohou data, která potenciálně unikla, zahrnovat jména, e-mailové adresy, adresy peněženek, telefonní čísla, fyzické adresy, obrázky a obrázky nahraných dokumentů.

Fractal tvrdil, že narušení neovlivnilo systémy nebo produkty klientů, protože bylo „obsaženo v prostředí [Fractalu]“. I tak by si dotčení uživatelé měli dávat pozor na „nevyžádanou komunikaci požadující dodatečné osobní informace“, uvádí se v oznámení.

Vývojář Web3 Paulo Fonseca zveřejnil obrázek e-mailu, který byl údajně zaslán některým uživatelům GnosisPay. „V pondělí 15. července 2024 v 19:30 středoevropského času náš poskytovatel služeb Know Your Customer (KYC) Fractal ID informoval tým Gnosis Pay, že v neděli 14. července 2024 utrpěl únik dat,“ uvedl e-mail.

Příjemce e-mailových informací „nebyl součástí údajů, ke kterým byl přístup,“ uvedl. Přesto varoval uživatele, aby „byl obezřetný vůči nevyžádané komunikaci požadující dodatečné osobní údaje“.

Cointelegraph kontaktoval Gnosis s žádostí o komentář, ale v době publikace neobdržel odpověď.

Související: Protokol CCIP a Automation společnosti Chainlink nyní fungují na Gnosis

Většina jurisdikcí vyžaduje, aby směnárny kryptoměn nebo poskytovatelé plateb zaznamenávali a uchovávali informace o každém zákazníkovi (KYC), kterému slouží. Tyto informace mohou zahrnovat obrázky dokladů totožnosti uživatelů, jména, fyzické adresy, e-maily a další citlivá data. Zastánci požadavků KYC tvrdí, že tato praxe je nezbytná k zamezení praní špinavých peněz, zatímco kritici tvrdí, že představuje riziko úniku osobních údajů.

Dne 27. června poskytovatel krypto ID Autix10 oznámil, že jeho přihlašovací údaje k administraci unikly online. Ale v tomto případě se zdálo, že útočník nezískal žádná skutečná data o zákaznících. 3. července utrpěla také dvoufaktorová autentizační aplikace Authy únik dat, což vedlo k úniku telefonních čísel uživatelů.

Časopis: Crypto-Sec: Evolve Bank utrpěla únik dat, nadšenec Turbo Toad přišel o 3,6 tisíc dolarů