Fractal'ın web sitesinde 17 Temmuz'da yayınlanan bir duyuruya göre, Blockchain kimlik platformu Fractal ID, 14 Temmuz'da bir veri ihlali yaşadı. Platformun ortakları arasında ödeme sistemi Gnosis Pay, merkezi olmayan finans uygulaması Acala, kişiliğin kanıtı projesi Polygon ID, sosyal medya platformu Lukso ve diğer Web3 uygulamaları.
Fractal yaptığı açıklamada, eğer varsa, ihlalden hangi ortakların etkilendiğini belirtmedi. X'teki bazı kullanıcılar, Gnosis Pay ekibinden ihlal konusunda uyarıda bulunan ve kendilerini "istenmeyen iletişimlere karşı dikkatli olmaları" konusunda uyaran e-postalar aldıklarını bildirdi.
Fractal, ihlalin yalnızca "Fractal ID kullanıcı tabanının yaklaşık %0,5'ini" etkilediğini belirtti.
Bildirime göre, "Fractal ID dışındaki bir üçüncü taraf, bir operatörün hesabına yetkisiz erişim sağladı ve kullanıcıların kişisel verilerine erişmek için 05:14 UTC'de başlayan bir API komut dosyası çalıştırdı." Ekip ihlali fark ettikten sonra "saldırganı sistemden 07:29 UTC'ye kadar çıkarmak için harekete geçti." Yani saldırının 2 saat 14 dakikalık bir sürede gerçekleştiği görülüyor.
Bildirimde, bu operatörün hesabında yalnızca sınırlı sayıda hesapta veri depolandığı belirtiliyor; bu da Fractal'ın toplam kullanıcı tabanının yalnızca %0,5'ine tekabül ediyor. Bu belirli kullanıcılar için potansiyel olarak sızdırılan veriler "isimleri, e-posta adreslerini, cüzdan adreslerini, telefon numaralarını, fiziksel adresleri, yüklenen belgelerin resimlerini ve resimlerini içerebilir."
Fractal, ihlalin "[Fractal'ın] ortamında yer aldığından" müşterilerin sistemlerini veya ürünlerini etkilemediğini iddia etti. Bildirimde, yine de etkilenen kullanıcıların "ek kişisel bilgi talep eden istenmeyen iletişimlere karşı dikkatli olmaları" gerektiği belirtildi.
Web3 geliştiricisi Paulo Fonseca, bazı GnosisPay kullanıcılarına gönderildiği bildirilen bir e-postanın resmini yayınladı. E-postada, "15 Temmuz 2024 Pazartesi günü saat 19:30'da (CET), Müşterinizi Tanıyın (KYC) hizmet sağlayıcımız Fractal ID, Gnosis Pay ekibine 14 Temmuz 2024 Pazar günü bir veri ihlali yaşandığı konusunda bilgi verdi" ifadesine yer verildi.
E-postanın bilgilerinin alıcısının "erişilen verilerin bir parçası olmadığı" belirtildi. Buna rağmen kullanıcıyı "ek kişisel bilgi talep eden istenmeyen iletişimlere karşı dikkatli olması" konusunda uyardı.
Cointelegraph yorum yapmak için Gnosis ile temasa geçti ancak yayınlandığı tarihte herhangi bir yanıt alamadı.
İlgili: Chainlink'in CCIP protokolü ve Otomasyonu artık Gnosis'te yayında
Çoğu yargı bölgesi, kripto para birimi borsalarının veya ödeme sağlayıcılarının, hizmet verdikleri her müşteriye ilişkin müşterini tanı (KYC) bilgilerini kaydetmesini ve saklamasını gerektirir. Bu bilgiler, kullanıcıların kimlik belgelerinin, adlarının, fiziksel adreslerinin, e-postalarının ve diğer hassas verilerinin resimlerini içerebilir. KYC gerekliliklerini destekleyenler bu uygulamanın kara para aklamayı önlemek için gerekli olduğunu iddia ederken, eleştirmenler bunun kişisel verilerin sızdırılması riski oluşturduğunu iddia ediyor.
27 Haziran'da kripto kimlik sağlayıcısı Autix10, yönetim bilgilerinin çevrimiçi olarak sızdırıldığını duyurdu. Ancak bu durumda saldırganın herhangi bir gerçek müşteri verisi elde edemediği görüldü. 3 Temmuz'da 2 faktörlü kimlik doğrulama uygulaması Authy de bir veri ihlali yaşadı ve bu da kullanıcıların telefon numaralarının sızdırılmasına neden oldu.
Dergi: Crypto-Sec: Evolve Bank veri ihlaline maruz kaldı, Turbo Toad meraklısı 3,6 bin dolar kaybetti
