Gnosis Pay и другие криптопроекты пострадали из-за утечки данных Fractal ID

Децентрализованная платежная сеть Gnosis Pay в среду предупредила пользователей о нарушении безопасности данных в Fractal ID, сервисе проверки клиентов, который она использует с как минимум 2019 года, согласно электронному письму службы поддержки клиентов, увиденному The Block. Вероятно, Gnosis не единственная компания Web3, пострадавшая от этого инцидента.  

«В 19:30 по центральноевропейскому времени, в понедельник, 15 июля 2024 года, наш поставщик услуг по проверке клиентов (KYC) Fractal ID сообщил команде Gnosis Pay, что в воскресенье, 14 июля 2024 года, произошел взлом данных», — написала команда Gnosis Pay. 

Генеральный директор Gnosis Pay Джулиан Лейтлофф подтвердил сообщения о взломе The Block. «Был взломан один операторский аккаунт, и в результате мы заметили подозрительную активность в воскресенье утром. Мы немедленно прекратили доступ и смогли выявить причину, которая позже была подтверждена внешней поддержкой», — сказал он в личном сообщении. Примерно 0,5% из 1 миллиона пользователей Fractal ID пострадали, сообщил Лейтлофф. 

Как и другие поставщики услуг KYC и борьбы с отмыванием денег (AML), берлинская компания Fractal ID, основанная в 2017 году, собирает и хранит конфиденциальные данные пользователей, называемые персонально идентифицируемой информацией, включая их имя, место жительства, адрес электронной почты, «селфи-скан для обнаружения живости» и документы, такие как паспорта и лицензии.

Fractal ID предоставляет помощь в соблюдении нормативных требований для как минимум восьми криптопротоколов, включая Polygon, Ripple и Near, и более 250 компаний среди своих клиентов, согласно веб-сайту .

«Атака не была специфичной для Gnosis, а касалась доступа к аккаунту оператора. Система сама по себе не была затронута, но этот аккаунт имел доступ ко всем пользователям, к которым имел доступ оператор», — сказал Лейтлофф.

На скриншоте электронного письма от Fractal ID, опубликованного в X, компания сообщила, что один из ее инженеров обнаружил, что злоумышленник получил доступ к аккаунту оператора Fractal ID, что позволило ему запустить API-скрипт для доступа к данным пользователей. Fractal ID заявила, что остановила взлом чуть более чем за два часа.

«Fractal KYC требует предъявления удостоверения личности и подтверждения места жительства и т.д. Я использовал это для ретро KYC Optimism и Thrive/Arbitrum KYC», — пользователь X @arlery, который опубликовал электронное письмо Fractal ID , сказал. «Факт, что они были взломаны, настолько тревожен.»

Лейтлофф сказал, что неясно, как злоумышленник получил доступ, хотя компания подозревает, что это связано с «украденным паролем, полученным в результате других взломов».

Данные пользователей «зашифрованы с использованием передовых методов безопасности», написала компания в блоге . Лейтлофф сказал, что хотя компания предлагает продукт децентрализованной идентификации, она использует централизованные базы данных для хранения данных клиентов. Это «не является юридическим требованием само по себе, но то, что сегодня требует большинство регулируемых организаций», поскольку локальное хранение на компьютерах пользователей «определенно не сработало бы».

Fractal ID, построенная на Polkadot DOT -1.43% , также была одним из основных разработчиков операционной системы цифровой идентификации с открытым исходным кодом idOS, созданной для того, чтобы пользователи могли управлять своей идентификацией в Интернете. Она получила поддержку как от Enterprise Singapore, так и от правительства Германии и привлекла почти 8 миллионов долларов, согласно PitchBook .

Fractal ID еще не раскрыла информацию о взломе данных в социальных сетях, своем блоге или на веб-сайте, однако Лейтлофф сообщил The Block, что взлом затронул лишь небольшую часть пользователей Fractal ID.