Bitfinex 用戶個人信息即將泄露

最近，圍繞 Bitfinex 傳出令人不安的消息，臭名昭著的勒索軟件組織 FSociety 聲稱他們從加密貨幣交易所竊取了 2.5TB 的數據。他們聲稱不僅擁有交易數據，還擁有 40 萬用戶的個人詳細信息。

更可怕的是，他們威脅說，除非滿足他們的要求，否則將泄露每個用戶的 KYC（瞭解你的客戶）信息。這一令人擔憂的情況在整個加密社區引發了擔憂。

泄漏初步細節

FSociety 已利用暗網（特別是他們的洋蔥網站）來傳播他們的主張。他們甚至發佈了文本文件的鏈接，據稱其中包含大量用戶名和純文本密碼。有趣的是，在仔細查看列表後，一些 Bitfinex 賬戶持有人（包括與 Alameda Research 等大型交易公司有關聯的個人）報告說，他們的詳細信息並未出現在泄露的數據中。

黑客們已經發出挑戰，聲稱如果他們未公開的要求得不到滿足，他們將泄露所有用戶的 KYC 文件。他們聲稱擁有的大量數據表明，他們可能擁有自 Bitfinex 成立以來的所有 KYC 記錄。

深入研究泄露的數據後，我們發現了多個電子郵件域名，其中主要是 Gmail、Yahoo 和 Outlook 等公共域名，還有許多其他域名。列表中一個特別突出的域名是 coinfarm.co.za，這可能暗示有人有針對性地從批量數據中剔除更敏感或更有價值的賬戶。

社區反應和官方迴應

當有人嘗試輸入文件中的某個密碼時，無意中測試了泄漏的真實性，結果卻收到雙重身份驗證提示——這表明數據可能是真實的。更混亂的是，Bitfinex 的首席技術官 Paolo Ardoino 被指參與了正在進行的討論，以解決這些指控。

對此，Ardoino 對此次泄密的來源表示懷疑，並暗示數據可能是從其他來源收集的，而不是 Bitfinex 本身。他提到，在發佈的 22.5k 個電子郵件密碼對中，只有大約 5k 個與 Bitfinex 賬戶相匹配，如果數據直接來自他們的數據庫，這種情況不太可能發生。Ardoino 還指出，黑客從未聯繫過 Bitfinex，這與黑客會主動聯繫進行談判的典型勒索軟件協議相矛盾。

儘管黑客沒有直接勒索 Bitfinex，但他們已將受感染的數據公開供用戶免費下載。這種非傳統做法引發了人們的猜測，他們真正的動機可能不是爲了直接勒索，而是爲了推廣與數據泄露宣傳相關的一些可疑投資。

含義和正在進行的調查

事態的發展引發了加密貨幣領域數字安全的諸多危險信號。值得注意的是，Ardoino 向社區保證，正在進行廣泛的分析，以確定 Bitfinex 系統的完整性。此外，該平臺的 KYC 系統採用嚴格的速率限制設計，理論上可以防止大量數據泄露，這表明任何大規模數據泄露都可能是不可信的。

每個人都對 bitfinex 上潛在的數據庫泄露感到恐慌。Tldr：似乎是假的。涉嫌黑客發佈了 2 個大型鏈接，其中包含示例數據，其中包含 22.5k 條電子郵件和密碼記錄。– 我們不存儲純文本密碼，也不以明文形式存儲 2FA 機密。– 22.5k 中只有 5k……

— 保羅·阿多伊諾 (Paolo Ardoino) 🍐 (@paoloardoino) 2024 年 5 月 4 日

該事件引起了衆多安全專家和研究人員的關注，加速了整個行業的恐懼、不確定性和懷疑 (FUD) 的蔓延。值得注意的是，許多泄露的賬戶詳細信息與之前泄露的數據相關，例如 Coinmarketcap 泄露的數據，這凸顯了一個常見問題，即用戶在多個平臺上重複使用憑證。

隨着調查的繼續，加密社區仍處於高度警惕狀態，真正的挑戰在於辨別此次入侵的真實規模和影響。據報道，資金是安全的，現在主要關注點轉向個人數據的潛在濫用以及此類事件暴露出的加密貨幣交易所的總體漏洞。