Nền tảng nhận dạng chuỗi khối Fractal ID đã bị vi phạm dữ liệu vào ngày 14 tháng 7, theo một thông báo được công bố trên trang web của Fractal vào ngày 17 tháng 7. Các đối tác của nền tảng này bao gồm hệ thống thanh toán Gnosis Pay, ứng dụng tài chính phi tập trung Acala, bằng chứng về dự án cá nhân Polygon ID, nền tảng truyền thông xã hội Lukso và các ứng dụng Web3 khác. 

Trong tuyên bố của mình, Fractal không xác định đối tác nào bị ảnh hưởng bởi vi phạm, nếu có. Một số người dùng trên X cho biết đã nhận được email từ nhóm Gnosis Pay cảnh báo về hành vi vi phạm và cảnh báo họ “thận trọng với các thông tin liên lạc không được yêu cầu”.

Fractal tuyên bố rằng vi phạm chỉ ảnh hưởng đến “khoảng 0,5% cơ sở người dùng Fractal ID”.

Theo thông báo, “Một bên thứ ba bên ngoài Fractal ID đã có được quyền truy cập trái phép vào tài khoản của nhà điều hành và chạy tập lệnh API bắt đầu lúc 05:14 sáng UTC để truy cập dữ liệu cá nhân của người dùng.” Sau khi nhóm nhận thấy vi phạm, họ “đã thực hiện hành động để đăng xuất kẻ tấn công khỏi hệ thống trước 07:29 sáng UTC”. Như vậy, cuộc tấn công dường như đã diễn ra trong khoảng thời gian hai giờ 14 phút.

Thông báo nêu rõ rằng chỉ một số tài khoản hạn chế có dữ liệu được lưu trữ trong tài khoản của nhà điều hành cụ thể này, chỉ chiếm 0,5% tổng số cơ sở người dùng của Fractal. Đối với những người dùng cụ thể đó, dữ liệu có khả năng bị rò rỉ “có thể bao gồm tên, địa chỉ email, địa chỉ ví, số điện thoại, địa chỉ thực, hình ảnh và hình ảnh của các tài liệu được tải lên”.

Fractal tuyên bố rằng vi phạm không ảnh hưởng đến hệ thống hoặc sản phẩm của khách hàng vì nó “được chứa trong môi trường [Fractal]”. Mặc dù vậy, những người dùng bị ảnh hưởng nên “thận trọng với những liên lạc không mong muốn yêu cầu thêm thông tin cá nhân”, thông báo nêu rõ.

Nhà phát triển Web3 Paulo Fonseca đã đăng hình ảnh một email được cho là đã gửi tới một số người dùng GnosisPay. “Vào lúc 7:30 tối CET Thứ Hai, ngày 15 tháng 7 năm 2024, nhà cung cấp dịch vụ Fractal ID Fractal ID của chúng tôi đã thông báo cho nhóm Gnosis Pay rằng họ đã bị vi phạm dữ liệu vào Chủ nhật ngày 14 tháng 7 năm 2024,” email nêu rõ.

Nó cho biết người nhận thông tin email “không phải là một phần dữ liệu được truy cập”. Mặc dù vậy, nó vẫn cảnh báo người dùng “hãy thận trọng với những liên lạc không mong muốn yêu cầu thêm thông tin cá nhân”.

Cointelegraph đã liên hệ với Gnosis để yêu cầu bình luận nhưng không nhận được phản hồi vào thời điểm xuất bản.

Liên quan: Giao thức CCIP và Tự động hóa của Chainlink hiện có trên Gnosis

Hầu hết các khu vực pháp lý đều yêu cầu các sàn giao dịch tiền điện tử hoặc nhà cung cấp dịch vụ thanh toán ghi lại và lưu trữ thông tin nhận biết khách hàng (KYC) của mọi khách hàng mà họ phục vụ. Thông tin này có thể bao gồm hình ảnh tài liệu nhận dạng, tên, địa chỉ thực, email và dữ liệu nhạy cảm khác của người dùng. Những người ủng hộ các yêu cầu KYC cho rằng biện pháp này là cần thiết để ngăn chặn hoạt động rửa tiền, trong khi những người chỉ trích cho rằng nó có nguy cơ bị rò rỉ dữ liệu cá nhân.

Vào ngày 27 tháng 6, nhà cung cấp ID tiền điện tử Autix10 đã thông báo rằng thông tin đăng nhập quản trị của họ đã bị rò rỉ trực tuyến. Nhưng trong trường hợp này, kẻ tấn công dường như chưa lấy được bất kỳ dữ liệu khách hàng thực tế nào. Ngày 3/7, ứng dụng xác thực 2 yếu tố Authy cũng gặp sự cố rò rỉ dữ liệu khiến số điện thoại của người dùng bị rò rỉ.

Tạp chí: Crypto-Sec: Ngân hàng Evolve bị vi phạm dữ liệu, người đam mê Turbo Toad mất 3,6 nghìn đô la