Nền tảng nhận dạng chuỗi khối Fractal ID đã công bố bản khám nghiệm tử thi phác thảo vụ vi phạm dữ liệu mà công ty gặp phải vào ngày 14 tháng 7. Vụ vi phạm này được bắt nguồn từ một sự cố năm 2022 khi một nhân viên sử dụng lại mật khẩu bị xâm phạm.
Theo Fractal ID, tài khoản bị xâm nhập thuộc về một nhà điều hành nền tảng này trong ba năm và có quyền quản trị viên. Điều này cho phép kẻ tấn công vượt qua các hệ thống bảo mật dữ liệu nội bộ, mặc dù việc giám sát hệ thống đã giúp khóa kẻ tấn công trong vòng 29 phút.
Nguyên nhân sâu xa của vi phạm
Việc nhà điều hành không tuân thủ các chính sách và đào tạo bảo mật hoạt động, cùng với việc sử dụng lại thông tin xác thực từ các vụ hack trước đây, đã tạo điều kiện cho hành vi vi phạm.
Vào ngày 14 tháng 7 năm 2024, nhà cung cấp dịch vụ xác minh danh tính tiền điện tử đã phát hiện thấy hoạt động bất thường tại một trong các văn phòng hỗ trợ của họ. Hoạt động này nhanh chóng được xác định là một cuộc tấn công độc hại, dẫn đến việc đánh cắp dữ liệu của khoảng 0,5% cơ sở người dùng.
Tuy nhiên, Fractal ID lưu ý trong báo cáo khám nghiệm tử thi rằng nó đã vô hiệu hóa tất cả các tài khoản trong hệ thống bị xâm nhập để phản hồi và hạn chế quyền truy cập của các nhân viên cấp cao. Công ty cũng ưu tiên tăng cường các biện pháp bảo mật để ngăn chặn các sự cố trong tương lai, chẳng hạn như thực hiện điều chỉnh yêu cầu, ủy quyền chi tiết hơn, giám sát chặt chẽ hơn các lần xác thực thất bại và kiểm soát IP chặt chẽ hơn.
Liên quan: ‘Các cuộc tấn công lớp phủ’ mới là mối đe dọa ngày càng tăng đối với người dùng tiền điện tử – CEO bảo mật
Ngoài những nỗ lực nội bộ, Fractal ID đã liên hệ với các cơ quan bảo vệ dữ liệu thích hợp và sở cảnh sát tội phạm mạng ở Berlin. Công ty cũng đã hợp tác với các dịch vụ an ninh mạng để theo dõi mọi khả năng phân phối dữ liệu bị đánh cắp trên các trang web vi phạm dữ liệu đã biết.
Tác động vi phạm dữ liệu
Theo báo cáo, dữ liệu bị đánh cắp, ảnh hưởng đến khoảng 6.300 người dùng, bao gồm nhiều cấp độ thông tin khác nhau, từ kiểm tra bằng chứng cá nhân đến hoàn tất kiểm tra KYC. Dữ liệu này có thể bao gồm tên, địa chỉ email, số điện thoại, địa chỉ ví, địa chỉ thực và hình ảnh của các tài liệu được tải lên. ID Fractal cũng đã liên hệ trực tiếp với người dùng bị ảnh hưởng để thông báo cho họ về hành vi vi phạm.
Những người đồng sáng lập Fractal ID Julian, Julio, Lluis và Anna bày tỏ sự tiếc nuối về vụ việc và nhấn mạnh cam kết bảo vệ dữ liệu người dùng. Họ nhắc lại mục tiêu của công ty là hướng tới hệ thống lưu trữ tự quản lý để tăng cường bảo mật dữ liệu.
Sai sót bảo mật này đóng vai trò như một lời nhắc nhở rõ ràng về những khó khăn trong việc bảo vệ dữ liệu. Autix10, một nhà cung cấp ID tiền điện tử, đã tiết lộ vào ngày 27 tháng 6 rằng chi tiết đăng nhập quản trị trực tuyến của họ đã bị lộ. Tuy nhiên, trong trường hợp này, kẻ tấn công dường như không có được quyền truy cập vào bất kỳ dữ liệu khách hàng nào.
Tạp chí: Crypto-Sec: Ngân hàng Evolve bị vi phạm dữ liệu, người đam mê Turbo Toad mất 3,6 nghìn đô la
