ブロックチェーンIDプラットフォームのFractal IDは、同社が7月14日に被ったデータ侵害の概要をまとめた事後報告を公開した。この侵害は、従業員が侵害されたパスワードを再利用した2022年の事件にまで遡る。

Fractal IDによると、侵害されたアカウントは、プラットフォームを3年間使用していたオペレーターのもので、管理者権限を持っていた。これにより、攻撃者は社内のデータプライバシーシステムを回避できたが、システム監視により29分以内に攻撃者を締め出すことができた。

侵害の根本原因

オペレーターが運用上のセキュリティポリシーとトレーニングに従わなかったこと、また過去のハッキングからの認証情報を再利用したことが、侵入を容易にした。

2024 年 7 月 14 日、暗号 ID 検証プロバイダーは、バック オフィスの 1 つで異常なアクティビティを検出しました。このアクティビティはすぐに悪意のある攻撃であると特定され、ユーザー ベースの約 0.5% のデータ流出につながりました。

しかし、Fractal ID は事後調査報告書の中で、対応策として侵害を受けたシステムのすべてのアカウントを無効にし、上級社員のアクセスを制限したと述べています。同社はまた、リクエストのスロットリング、よりきめ細かい認証、失敗した認証試行のより厳しい監視、より厳格な IP 制御など、将来のインシデントを防ぐためのセキュリティ対策の強化を優先しています。

関連：新たな「オーバーレイ攻撃」が暗号資産ユーザーにとってますます大きな脅威に - セキュリティCEO

社内での取り組みに加え、Fractal ID は関係するデータ保護当局およびベルリンのサイバー犯罪警察部門に連絡を取りました。また、同社はサイバーセキュリティ サービスと連携し、既知のデータ侵害サイトで盗まれたデータが配布される可能性を監視しています。

データ侵害の影響

報告書によると、約6,300人のユーザーに影響した盗まれたデータには、本人確認チェックから完全なKYCチェックまで、さまざまなレベルの情報が含まれています。このデータには、名前、メールアドレス、電話番号、ウォレットアドレス、住所、アップロードされた文書の画像などが含まれる可能性があります。Fractal IDは、影響を受けたユーザーに直接連絡して、侵害について通知しました。

Fractal ID の共同創設者である Julian、Julio、Lluis、Anna は、この事件について遺憾の意を表し、ユーザーデータ保護への取り組みを強調しました。彼らは、データセキュリティを強化するために自己管理型ストレージシステムに移行するという同社の目標を改めて強調しました。

このセキュリティ上の欠陥は、データ保護の難しさをはっきりと思い起こさせるものだ。暗号IDプロバイダーのAutix10は6月27日、オンライン管理ログイン情報が漏洩したことを明らかにした。しかし、今回のケースでは、攻撃者は顧客データにアクセスできなかったようだ。

雑誌: Crypto-Sec: Evolve Bank がデータ侵害に遭い、Turbo Toad 愛好家が 3,600 ドルを失う