La piattaforma di identità blockchain Fractal ID ha subito una violazione dei dati il 14 luglio, secondo un avviso pubblicato sul sito web di Fractal il 17 luglio. Tra i partner della piattaforma figurano il sistema di pagamento Gnosis Pay, l'app di finanza decentralizzata Acala, il progetto di prova della personalità Polygon ID, il piattaforma di social media Lukso e altre applicazioni Web3.
Nella sua dichiarazione, Fractal non ha identificato quali partner siano stati eventualmente colpiti dalla violazione. Alcuni utenti di X hanno riferito di aver ricevuto e-mail dal team di Gnosis Pay che avvisavano della violazione e li avvertivano di "essere cauti nei confronti delle comunicazioni non richieste".
Fractal ha affermato che la violazione ha interessato solo "circa lo 0,5% della base di utenti di Fractal ID".
Secondo l'avviso, "Una terza parte esterna a Fractal ID ha ottenuto l'accesso non autorizzato all'account di un operatore ed ha eseguito uno script API avviato alle 05:14 UTC per accedere ai dati personali degli utenti". Una volta che il team ha notato la violazione, "ha preso provvedimenti per disconnettere l'aggressore dal sistema entro le 07:29 UTC". Pertanto, l'attacco apparentemente ha avuto luogo in un periodo di due ore e 14 minuti.
L'avviso afferma che solo un numero limitato di account aveva dati archiviati nell'account di questo particolare operatore, pari a solo lo 0,5% della base di utenti totale di Fractal. Per quegli utenti particolari, i dati che sono stati potenzialmente trapelati "possono includere nomi, indirizzi e-mail, indirizzi di portafoglio, numeri di telefono, indirizzi fisici, immagini e foto di documenti caricati".
Fractal ha affermato che la violazione non ha interessato i sistemi o i prodotti dei clienti, poiché era "contenuta nell'ambiente [di Fractal]". Tuttavia, gli utenti interessati dovrebbero essere "cauti nei confronti di comunicazioni indesiderate che richiedono informazioni personali aggiuntive", si legge nell'avviso.
Lo sviluppatore Web3 Paulo Fonseca ha pubblicato un'immagine di un'e-mail che si dice sia stata inviata ad alcuni utenti di GnosisPay. "Alle 19:30 CET di lunedì 15 luglio 2024, il nostro fornitore di servizi Know Your Customer (KYC) Fractal ID ha informato il team di Gnosis Pay di aver subito una violazione dei dati domenica 14 luglio 2024", si legge nell'e-mail.
Il destinatario delle informazioni dell'e-mail "non faceva parte dei dati a cui si è avuto accesso", ha affermato. Nonostante ciò, ha avvisato l'utente di "essere cauto con le comunicazioni indesiderate che richiedono informazioni personali aggiuntive".
Cointelegraph ha contattato Gnosis per un commento, ma al momento della pubblicazione non ha ricevuto alcuna risposta.
Correlati: il protocollo CCIP e l'automazione di Chainlink ora sono attivi su Gnosis
La maggior parte delle giurisdizioni richiede agli exchange di criptovalute o ai provider di pagamento di registrare e archiviare le informazioni know-your-customer (KYC) su ogni cliente che servono. Queste informazioni possono includere immagini di documenti di identità, nomi, indirizzi fisici, e-mail e altri dati sensibili degli utenti. I sostenitori dei requisiti KYC affermano che questa pratica è necessaria per prevenire il riciclaggio di denaro, mentre i critici affermano che comporta un rischio di fuga di dati personali.
Il 27 giugno, il fornitore di ID crittografici Autix10 ha annunciato che le sue credenziali di amministrazione erano trapelate online. Ma in questo caso, l'aggressore sembrava non aver ottenuto alcun dato effettivo del cliente. Il 3 luglio, anche l'app di autenticazione a 2 fattori Authy ha subito una violazione dei dati, con conseguente fuga di dati dei numeri di telefono degli utenti.
Rivista: Crypto-Sec: Evolve Bank subisce una violazione dei dati, un appassionato di Turbo Toad perde 3,6K $