La plataforma de identidad blockchain Fractal ID sufrió una violación de datos el 14 de julio, según un aviso publicado en el sitio web de Fractal el 17 de julio. Los socios de la plataforma incluyen el sistema de pago Gnosis Pay, la aplicación de finanzas descentralizadas Acala, el proyecto de prueba de personalidad Polygon ID, el plataforma de redes sociales Lukso y otras aplicaciones Web3.
En su comunicado, Fractal no identificó qué socios se vieron afectados por el incumplimiento, si los hubo. Algunos usuarios de X informaron haber recibido correos electrónicos del equipo de Gnosis Pay alertando sobre la infracción y advirtiéndoles que "tengan cuidado con las comunicaciones no solicitadas".
Fractal declaró que la infracción sólo afectó a "aproximadamente el 0,5% de la base de usuarios de Fractal ID".
Según el aviso, "un tercero externo a Fractal ID obtuvo acceso no autorizado a la cuenta de un operador y ejecutó un script API que comenzó a las 05:14 am UTC para acceder a los datos personales de los usuarios". Una vez que el equipo notó la infracción, "tomaron medidas para desconectar al atacante del sistema antes de las 07:29 a. m. UTC". Así, el ataque aparentemente tuvo lugar durante un período de dos horas y 14 minutos.
El aviso establece que solo un número limitado de cuentas tenían datos almacenados en la cuenta de este operador en particular, lo que representa solo el 0,5% de la base total de usuarios de Fractal. Para esos usuarios en particular, los datos que potencialmente se filtraron "pueden incluir nombres, direcciones de correo electrónico, direcciones de billetera, números de teléfono, direcciones físicas, imágenes y fotografías de documentos cargados".
Fractal afirmó que la infracción no afectó los sistemas o productos de los clientes, ya que estaba "contenida dentro del entorno [de Fractal]". Aun así, los usuarios afectados deben “tener cuidado con las comunicaciones no solicitadas que solicitan información personal adicional”, decía el aviso.
El desarrollador de Web3 Paulo Fonseca publicó una imagen de un correo electrónico supuestamente enviado a algunos usuarios de GnosisPay. “A las 7:30 p. m. CET del lunes 15 de julio de 2024, nuestro proveedor de servicios Conozca a su cliente (KYC), Fractal ID, informó al equipo de Gnosis Pay que había sufrido una violación de datos el domingo 14 de julio de 2024”, decía el correo electrónico.
El destinatario de la información del correo electrónico “no formaba parte de los datos a los que se accedió”, afirmó. Aun así, advirtió al usuario que “tenga cuidado con las comunicaciones no solicitadas que soliciten información personal adicional”.
Cointelegraph se puso en contacto con Gnosis para solicitar comentarios, pero no recibió respuesta al momento de la publicación.
Relacionado: El protocolo CCIP y la automatización de Chainlink ahora están disponibles en Gnosis
La mayoría de las jurisdicciones exigen que los intercambios de criptomonedas o los proveedores de pagos registren y almacenen información de conocimiento de su cliente (KYC) sobre cada cliente al que atienden. Esta información puede incluir imágenes de los documentos de identidad de los usuarios, nombres, direcciones físicas, correos electrónicos y otros datos confidenciales. Los partidarios de los requisitos KYC afirman que esta práctica es necesaria para prevenir el lavado de dinero, mientras que los críticos afirman que plantea un riesgo de filtración de datos personales.
El 27 de junio, el proveedor de criptoidentificación Autix10 anunció que sus credenciales de administración se habían filtrado en línea. Pero en este caso, el atacante no parecía haber obtenido ningún dato real del cliente. El 3 de julio, la aplicación de autenticación de dos factores Authy también sufrió una violación de datos, lo que provocó la filtración de los números de teléfono de los usuarios.
Revista: Crypto-Sec: Evolve Bank sufre una violación de datos, el entusiasta de Turbo Toad pierde $3.6K