區塊鏈身份平臺 Fractal ID 發佈了一份事後分析報告，概述了該公司在 7 月 14 日遭受的數據泄露事件。此次泄露事件被追溯到 2022 年的一起事件，當時一名員工重複使用了被泄露的密碼。

據 Fractal ID 稱，被盜賬戶屬於一名使用該平臺三年的運營商，擁有管理員權限。這使攻擊者能夠繞過內部數據隱私系統，不過系統監控在 29 分鐘內就鎖定了攻擊者。

違規的根本原因

運營商未能遵守操作安全政策和培訓，加之重複使用過去黑客攻擊後的憑證，導致了此次違規行爲。

2024 年 7 月 14 日，這家加密身份驗證提供商在其一個後臺檢測到異常活動。該活動很快被認定爲惡意攻擊，導致約 0.5% 的用戶數據泄露。

然而，Fractal ID 在事後報告中指出，他們已禁用受感染系統中的所有賬戶，並限制高級員工的訪問權限。該公司還優先加強安全措施，以防止未來再次發生此類事件，例如實施請求限制、更細粒度的授權、更嚴格地監控失敗的身份驗證嘗試以及更嚴格的 IP 控制。

相關：新的“覆蓋攻擊”對加密用戶的威脅越來越大——安全首席執行官

除了內部努力之外，Fractal ID 還聯繫了相關數據保護機構和柏林網絡犯罪警察部門。該公司還與網絡安全服務機構合作，以監控已知數據泄露網站上是否存在被盜數據的潛在傳播。

數據泄露的影響

據報道，被盜數據影響了約 6,300 名用戶，包括從身份證明檢查到完整的 KYC 檢查等各個級別的信息。這些數據可能包括姓名、電子郵件地址、電話號碼、錢包地址、實際地址以及上傳文件的圖像。Fractal ID 還直接聯繫了受影響的用戶，告知他們此次泄露事件。

Fractal ID 聯合創始人 Julian、Julio、Lluis 和 Anna 對此次事件表示遺憾，並強調了保護用戶數據的承諾。他們重申了公司轉向自主託管存儲系統以增強數據安全性的目標。

此次安全漏洞再次提醒人們保護數據有多麼困難。加密 ID 提供商 Autix10 於 6 月 27 日透露，其在線管理登錄詳細信息被泄露。然而，在這種情況下，攻擊者似乎並未獲得任何客戶數據的訪問權限。

雜誌：Crypto-Sec：Evolve Bank 遭遇數據泄露，Turbo Toad 愛好者損失 3.6 萬美元