Gnosis Pay et d'autres projets crypto impactés par la violation de données de Fractal ID

Le réseau de paiement décentralisé Gnosis Pay a alerté les utilisateurs mercredi d'une violation de données chez Fractal ID, le service de vérification des clients qu'il utilise depuis au moins 2019, selon un e-mail du service client vu par The Block. Gnosis n'est probablement pas la seule entreprise Web3 affectée.  

« À 19h30 CET, lundi 15 juillet 2024, notre fournisseur de services Know Your Customer (KYC) Fractal ID a informé l'équipe de Gnosis Pay qu'il avait subi une violation de données le dimanche 14 juillet 2024 », a écrit l'équipe de Gnosis Pay. 

Le PDG de Gnosis Pay, Julian Leitloff, a confirmé les rapports sur l'exploitation à The Block. « Un seul compte opérateur a été compromis et, par conséquent, nous avons remarqué une activité suspecte dimanche matin. Nous avons immédiatement arrêté l'accès et pu identifier la cause, qui a ensuite été vérifiée avec un soutien externe », a-t-il déclaré dans un message direct. Environ 0,5 % des 1 million d'utilisateurs de Fractal ID ont été affectés, a déclaré Leitloff. 

Comme d'autres fournisseurs de services KYC et de lutte contre le blanchiment d'argent (AML), Fractal ID, basé à Berlin et fondé en 2017, collecte et stocke des données sensibles pour les utilisateurs, appelées informations personnellement identifiables, y compris leur nom, résidence, adresse e-mail, « un scan selfie de détection de vivacité » et des documents comme des passeports et des licences.

Fractal ID fournit une assistance en matière de conformité pour au moins huit protocoles crypto, dont Polygon, Ripple et Near, et plus de 250 entreprises parmi ses clients, selon son site web .

« L'attaque n'était pas spécifique à Gnosis, mais spécifique à l'accès au compte de l'opérateur. Le système lui-même n'a pas été impacté mais ce compte, ce qui signifie chaque utilisateur auquel ce compte avait accès », a déclaré Leitloff.

Dans une capture d'écran d'un e-mail de Fractal ID publié sur X, la société a déclaré qu'un de ses ingénieurs avait découvert qu'un attaquant avait accédé au compte d'un opérateur de Fractal ID, lui permettant d'exécuter un script API pour accéder aux données des utilisateurs. Fractal ID a déclaré avoir arrêté l'exploitation en un peu plus de deux heures.

« Fractal KYC nécessite de montrer une preuve d'identité et une preuve de résidence, etc. J'ai utilisé cela pour Optimism retro KYC et Thrive/Arbitrum KYC », a déclaré l'utilisateur de X @arlery, qui a publié l'e-mail de Fractal ID . « Le fait qu'ils aient été compromis est tellement alarmant. »

Leitloff a déclaré qu'il n'était pas clair comment l'attaquant avait pénétré, bien que la société soupçonne que cela soit lié à un « mot de passe siphonné obtenu à partir d'autres piratages. »

Les « données sensibles des utilisateurs sont cryptées avec un processus de sécurité de pointe », a écrit la société dans un blog . Leitloff a déclaré que bien que la société offre un produit d'identité décentralisée, elle utilise des bases de données centralisées pour stocker les données des clients. Ce n'est « pas une exigence légale en soi mais ce que la plupart des entités réglementées exigent aujourd'hui » car le stockage local sur les ordinateurs des utilisateurs « ne fonctionnerait certainement pas. »

Fractal ID, construit sur Polkadot DOT -1.43% , était également l'un des principaux développeurs du système d'exploitation d'identité numérique open-source idOS, conçu pour permettre aux utilisateurs de gérer leur propre identité sur le Web. Il a reçu le soutien d'Enterprise Singapore et du gouvernement allemand et a levé près de 8 millions de dollars, selon PitchBook .

Fractal ID n'a pas encore divulgué la violation de données sur les réseaux sociaux, son blog ou son site web, cependant Leitloff a déclaré à The Block que l'exploitation n'avait affecté qu'une fraction de la base d'utilisateurs de Fractal ID.