Gnosis Payおよびその他の暗号プロジェクトがFractal IDのデータ漏洩の影響を受ける

分散型決済ネットワークのGnosis Payは、水曜日にFractal IDのデータ漏洩についてユーザーに警告しました。Fractal IDは少なくとも2019年から使用されている顧客認証サービスであり、The Blockが確認した顧客サービスのメールによると、Gnosisだけでなく他のWeb3企業も影響を受けている可能性があります。

「2024年7月15日（月）午後7時30分（CET）、当社のKYC（顧客確認）サービスプロバイダーであるFractal IDが、2024年7月14日（日）にデータ漏洩が発生したことをGnosis Payチームに通知しました」とGnosis Payチームは書いています。

Gnosis PayのCEOであるJulian Leitloffは、The Blockに対してこの攻撃の報告を確認しました。「単一のオペレーターアカウントが侵害され、その結果、日曜日の朝に不審な活動が確認されました。直ちにアクセスを停止し、外部のサポートで確認された原因を特定することができました」と彼は直接メッセージで述べました。Leitloffによると、Fractal IDの100万人のユーザーのうち約0.5％が影響を受けました。

他のKYCおよびAML（アンチマネーロンダリング）サービスプロバイダーと同様に、2017年に設立されたベルリン拠点のFractal IDは、ユーザーの名前、住所、メールアドレス、「ライブネス検出セルフィースキャン」やパスポートやライセンスなどの文書を含む個人識別情報を収集し、保存しています。

Fractal IDは、Polygon、Ripple、Nearを含む少なくとも8つの暗号プロトコルおよび250社以上の企業に対してコンプライアンス支援を提供しています。 ウェブサイト によると。

「攻撃はGnosisに特有のものではなく、オペレーターのアカウントアクセスに特有のものでした。システム自体は影響を受けていませんが、このアカウントがアクセスできるすべてのユーザーが影響を受けました」とLeitloffは述べました。

Xに投稿されたFractal IDのメールのスクリーンショットによると、同社のエンジニアの一人がFractal IDオペレーターのアカウントに攻撃者がアクセスしたことを発見し、APIスクリプトを実行してユーザーのデータにアクセスできるようになったと述べています。Fractal IDは、2時間強でこの攻撃を停止したと述べています。

「Fractal KYCはIDの証明や住所の証明などを要求します。私はこれをOptimismのレトロKYCやThrive/Arbitrum KYCに使用しました」とXユーザーの@arleryは、Fractal IDのメールを投稿した際に述べました。「彼らが侵害されたという事実は非常に警戒すべきことです。」

Leitloffは、攻撃者がどのようにして侵入したのかは不明であるが、他のハッキングから得られた「盗まれたパスワード」に関連していると会社は疑っていると述べました。

ユーザーの「機密データは最先端のセキュリティプロセスで暗号化されています」と会社はブログに書いています。Leitloffは、同社が分散型ID製品を提供しているにもかかわらず、クライアントデータを保存するために中央集権型データベースを使用していると述べました。これは「法的要件ではなく、今日のほとんどの規制されたエンティティが要求するもの」であり、ユーザーのコンピュータにローカルに保存することは「絶対に機能しない」と述べました。

Fractal IDは、Polkadot DOT -1.43% 上に構築されており、Web全体でユーザーが自分のIDを管理できるようにするオープンソースのデジタルIDオペレーティングシステムidOSの主要な開発者の一つでもあります。Enterprise Singaporeとドイツ政府の支援を受け、PitchBookによると、これまでに約800万ドルを調達しています。

Fractal IDは、ソーシャルメディア、ブログ、ウェブサイトでデータ漏洩をまだ公表していませんが、LeitloffはThe Blockに対して、この攻撃はFractal IDのユーザーベースの一部にしか影響を与えていないと述べました。