A Cointelegraph obteve amostras de conjuntos de dados repletos de informações sensíveis de participantes de conferências cripto que poderiam ser um tesouro para golpistas.
Listas repletas de informações sensíveis sobre os participantes de eventos da indústria cripto estão sendo vendidas sob o pretexto de “marketing e promoção e busca de clientes”, apresentando um potencial tesouro de dados para golpistas e atores maliciosos.
As listas podem conter informações incluindo nomes completos, números de telefone, nacionalidades, funções de trabalho e empresas, junto com links de mídias sociais pessoais e comerciais.
Alguns até incluem a data de compra do ingresso dos participantes, tipo de ingresso, o sistema operacional usado para fazer a compra, contagens de seguidores nas redes sociais, endereços de carteiras cripto e mensagens digitadas em um campo de texto enviadas aos organizadores do evento.
Esse tipo de informação é tipicamente coletado através de formulários de registro de eventos em conferências ou eventos paralelos. Recentemente, eventos usando plataformas como lu.ma para emitir ingressos geralmente exigem links para contas de mídias sociais específicas.
A Cointelegraph obteve “amostras” de tais listas de um vendedor via Telegram, que incluíam quatro listas de cerca de 60 a 100 participantes que pareciam derivar de múltiplos eventos. Cada uma continha diferentes pontos de dados sobre os participantes.
Os eventos pareceram ocorrer principalmente no outono de 2024, e os números de telefone dos participantes sugeriram que aconteceram em diferentes países, principalmente no Sudeste Asiático e na Índia.
Um único vendedor com acesso a listas de vários países sugere que, em vez de um incidente isolado, há um comércio internacional organizado de dados de participantes de eventos de blockchain.
As listas podem ser a ponta do iceberg — imagens de amostras adicionais supostamente conectadas ao Blockchain Fest e Devcon também foram compartilhadas.
A Cointelegraph não está sugerindo que os organizadores ou funcionários de eventos importantes estão envolvidos no comércio, já que centenas de eventos paralelos em conferências também coletam detalhes semelhantes.
De valor específico foi uma aparente lista de 1.700 participantes da conferência AIBC de novembro de 2024 em Malta. O preço pedido pela lista, que o vendedor disse que seria distribuída a “apenas algumas pessoas”, era quase $4.000, mas foi reduzido para $650 após alguns dias.
O vendedor alegou que os lucros das vendas seriam usados para comprar listas adicionais de outros eventos, nomeadamente do Coinfest e DevCon, para os quais compartilharam capturas de tela do banco de dados.
O vendedor estava aparentemente atuando como um revendedor dos dados e, embora anônimo, tanto o vendedor quanto o compilador dos dados parecem ser russos — evidenciado por uma das abas do conjunto de dados amostrais intitulada “Lista2” em russo e uma análise de IA da escrita do vendedor apontando para um falante nativo russo.
O vendedor tentou justificar a venda dos dados “não vazados”, afirmando que não se tratava de “informações sensíveis” e que “a maioria das pessoas está aberta a esse tipo de marketing.”
O fundador da AIBC, Eman Pulis, queria saber quão grande era a lista quando a Cointelegraph pediu um comentário e disse que o evento tem “protocolos muito rigorosos contra vazamentos de dados.” Pulis acrescentou que muitos bancos de dados semelhantes são fraudulentos e que “recebemos ofertas de bancos de dados de nossos concorrentes o tempo todo.”
O banco de dados completo não pode ser verificado, mas o vendedor se ofereceu para validar seus dados em relação a qualquer participante conhecido da AIBC.
Embora não esteja claro de onde os dados estão vindo, é evidente que listas desse tipo são procuradas por atores inescrupulosos, e os participantes devem estar cientes dos riscos de inserir dados pessoais em formulários online.