La plateforme d'identité blockchain Fractal ID a subi une violation de données le 14 juillet, selon un avis publié sur le site Internet de Fractal le 17 juillet. Les partenaires de la plateforme incluent le système de paiement Gnosis Pay, l'application de finance décentralisée Acala, le projet de preuve de personnalité Polygon ID, le plateforme de médias sociaux Lukso et autres applications Web3.
Dans sa déclaration, Fractal n'a pas identifié quels partenaires ont été affectés par la violation, le cas échéant. Certains utilisateurs sur X ont déclaré avoir reçu des e-mails de l'équipe de Gnosis Pay les alertant de la violation et les avertissant de « faire attention aux communications non sollicitées ».
Fractal a déclaré que la violation n'affectait qu'« environ 0,5 % de la base d'utilisateurs de Fractal ID ».
Selon l'avis, "un tiers externe à Fractal ID a obtenu un accès non autorisé au compte d'un opérateur et a exécuté un script API qui a démarré à 05h14 UTC pour accéder aux données personnelles des utilisateurs." Une fois que l’équipe a remarqué la violation, elle « a pris des mesures pour déconnecter l’attaquant du système avant 07h29 UTC ». Ainsi, l’attaque s’est apparemment déroulée sur une période de deux heures et 14 minutes.
L'avis indique que seul un nombre limité de comptes avaient des données stockées dans le compte de cet opérateur particulier, ce qui représente seulement 0,5 % de la base totale d'utilisateurs de Fractal. Pour ces utilisateurs particuliers, les données potentiellement divulguées « peuvent inclure des noms, des adresses e-mail, des adresses de portefeuille, des numéros de téléphone, des adresses physiques, des images et des photos de documents téléchargés ».
Fractal a affirmé que la violation n'avait pas affecté les systèmes ou les produits des clients, car elle était « contenue dans l'environnement [de Fractal] ». Néanmoins, les utilisateurs concernés doivent se méfier des communications non sollicitées demandant des informations personnelles supplémentaires », indique l'avis.
Le développeur Web3 Paulo Fonseca a publié une image d'un e-mail qui aurait été envoyé à certains utilisateurs de GnosisPay. "À 19h30 CET le lundi 15 juillet 2024, notre fournisseur de services Know Your Customer (KYC) Fractal ID a informé l'équipe de Gnosis Pay qu'elle avait subi une violation de données le dimanche 14 juillet 2024", indique l'e-mail.
Le destinataire des informations de l’e-mail « ne faisait pas partie des données consultées », précise-t-il. Néanmoins, il avertit l’utilisateur de « se méfier des communications non sollicitées demandant des informations personnelles supplémentaires ».
Cointelegraph a contacté Gnosis pour commentaires mais n'a pas reçu de réponse au moment de la publication.
Connexes : Le protocole CCIP et l'automatisation de Chainlink sont désormais disponibles sur Gnosis
La plupart des juridictions exigent que les bourses de crypto-monnaie ou les fournisseurs de paiement enregistrent et stockent les informations de connaissance du client (KYC) sur chaque client qu'ils servent. Ces informations peuvent inclure des images des pièces d'identité des utilisateurs, des noms, des adresses physiques, des e-mails et d'autres données sensibles. Les partisans des exigences KYC affirment que cette pratique est nécessaire pour prévenir le blanchiment d’argent, tandis que les critiques affirment qu’elle présente un risque de fuite de données personnelles.
Le 27 juin, le fournisseur d'identification cryptographique Autix10 a annoncé que ses informations d'identification d'administration avaient été divulguées en ligne. Mais dans ce cas, l’attaquant semble n’avoir obtenu aucune donnée réelle du client. Le 3 juillet, l'application d'authentification à 2 facteurs Authy a également subi une violation de données, entraînant une fuite des numéros de téléphone des utilisateurs.
Magazine : Crypto-Sec : Evolve Bank subit une violation de données, un passionné de Turbo Toad perd 3,6 000 $