Blockchain identitātes platforma Fractal ID cieta datu pārkāpumu 14. jūlijā saskaņā ar paziņojumu, kas tika publicēts Fractal tīmekļa vietnē 17. jūlijā. Platformas partneri ir maksājumu sistēma Gnosis Pay, decentralizēta finanšu lietotne Acala, personības apliecinājuma projekts Polygon ID, sociālo mediju platforma Lukso un citas Web3 lietojumprogrammas.
Fractal savā paziņojumā nenorādīja, kurus partnerus ir ietekmējis pārkāpums, ja tāds ir. Daži X lietotāji ziņoja, ka ir saņēmuši e-pasta ziņojumus no Gnosis Pay komandas, kas brīdina par pārkāpumu un brīdina viņus “esiet piesardzīgi pret nevēlamu saziņu”.
Fractal paziņoja, ka pārkāpums skāra tikai "aptuveni 0,5% no Fractal ID lietotāju bāzes".
Saskaņā ar paziņojumu "Trešā puse, kas nav Fractal ID, ieguva nesankcionētu piekļuvi operatora kontam un palaida API skriptu, kas sākās plkst. 05:14 UTC, lai piekļūtu lietotāju personas datiem." Kad komanda pamanīja pārkāpumu, viņi "veica darbības, lai uzbrucēju izslēgtu no sistēmas līdz plkst. 07:29 UTC". Tādējādi uzbrukums šķietami notika divu stundu un 14 minūšu laikā.
Paziņojumā norādīts, ka šī konkrētā operatora kontā tika glabāti dati tikai ierobežotā skaitā kontu, kas veido tikai 0,5% no Fractal kopējās lietotāju bāzes. Šiem konkrētajiem lietotājiem dati, kas potenciāli tika nopludināti, "var ietvert vārdus, e-pasta adreses, maku adreses, tālruņu numurus, fiziskās adreses, augšupielādēto dokumentu attēlus un attēlus".
Fractal apgalvoja, ka pārkāpums neietekmēja klientu sistēmas vai produktus, jo tas bija "[Fractal] vidē". Tomēr ietekmētajiem lietotājiem vajadzētu būt "piesardzīgiem pret nevēlamu saziņu, kurā tiek pieprasīta papildu personas informācija", teikts paziņojumā.
Web3 izstrādātājs Paulo Fonseca publicēja attēlu ar e-pasta ziņojumu, kas, kā ziņots, tika nosūtīts dažiem GnosisPay lietotājiem. “Plkst. 19:30 CET pirmdien, 2024. gada 15. jūlijā, mūsu Know Your Customer (KYC) pakalpojumu sniedzējs Fractal ID informēja Gnosis Pay komandu, ka svētdien, 2024. gada 14. jūlijā, ir noticis datu pārkāpums,” teikts e-pastā.
Tajā teikts, ka e-pasta informācijas saņēmējs "nebija daļa no datiem, kuriem tika piekļūts". Tomēr tas brīdināja lietotāju “uzmanīties pret nevēlamu saziņu, kurā tiek pieprasīta papildu personas informācija”.
Cointelegraph sazinājās ar Gnosis, lai sniegtu komentārus, taču līdz publicēšanas brīdim atbildi nesaņēma.
Saistīts: Chainlink CCIP protokols un automatizācija tagad darbojas Gnosis
Lielākajā daļā jurisdikciju kriptovalūtas biržām vai maksājumu pakalpojumu sniedzējiem ir jāreģistrē un jāuzglabā informācija par klientu pazīstamību (KYC) par katru klientu, kuru tie apkalpo. Šī informācija var ietvert lietotāju personu apliecinošu dokumentu attēlus, vārdus, fiziskās adreses, e-pastus un citus sensitīvus datus. KYC prasību atbalstītāji apgalvo, ka šāda prakse ir nepieciešama, lai novērstu naudas atmazgāšanu, savukārt kritiķi apgalvo, ka tā rada personas datu noplūdes risku.
27. jūnijā kriptovalūtu ID nodrošinātājs Autix10 paziņoja, ka tā administrācijas akreditācijas dati ir nopludināti tiešsaistē. Taču šajā gadījumā uzbrucējs, šķiet, nav ieguvis nekādus faktiskus klienta datus. 3. jūlijā arī divu faktoru autentifikācijas lietotne Authy cieta datu pārkāpumu, kā rezultātā tika nopludināti lietotāju tālruņu numuri.
Žurnāls: Crypto-Sec: Evolve Bank cieš no datu pārkāpumiem, Turbo Toad entuziasts zaudē 3,6 000 USD