Согласно уведомлению, опубликованному на веб-сайте Fractal 17 июля, 14 июля произошла утечка данных в блокчейн-платформе идентификации Fractal ID. Партнерами платформы являются платежная система Gnosis Pay, приложение для децентрализованного финансирования Acala, проект подтверждения личности Polygon ID,платформа социальных сетей Lukso и другие приложения Web3.
В своем заявлении Fractal не уточнила, какие партнеры пострадали от нарушения, если таковые имеются. Некоторые пользователи X сообщили, что получали электронные письма от команды Gnosis Pay, предупреждающие о взломе и предупреждающие их «остерегаться от нежелательных сообщений».
В компании Fractal заявили, что нарушение затронуло только «примерно 0,5% базы пользователей Fractal ID».
Согласно уведомлению, «третья сторона, внешняя по отношению к Fractal ID, получила несанкционированный доступ к учетной записи оператора и запустила сценарий API, который стартовал в 05:14 утра по всемирному координированному времени (UTC) для доступа к личным данным пользователей». Как только команда заметила нарушение, они «предприняли меры, чтобы отключить злоумышленника от системы к 07:29 утра по всемирному координированному времени». Таким образом, нападение, судя по всему, продолжалось два часа 14 минут.
В уведомлении говорится, что только ограниченное количество учетных записей хранило данные в учетной записи этого конкретного оператора, что составляет всего 0,5% от общей базы пользователей Fractal. Для этих конкретных пользователей потенциально утекшие данные «могут включать имена, адреса электронной почты, адреса кошельков, номера телефонов, физические адреса, изображения и изображения загруженных документов».
В компании Fractal заявили, что нарушение не затронуло системы или продукты клиентов, поскольку оно «содержалось в среде [Fractal]». Несмотря на это, затронутые пользователи должны «остерегаться нежелательных сообщений с запросом дополнительной личной информации», говорится в уведомлении.
Разработчик Web3 Пауло Фонсека опубликовал изображение электронного письма, которое, как сообщается, было отправлено некоторым пользователям GnosisPay. «В 19:30 по центральноевропейскому времени в понедельник, 15 июля 2024 года, наш поставщик услуг «Знай своего клиента» (KYC) Fractal ID сообщил команде Gnosis Pay, что в воскресенье, 14 июля 2024 года, произошла утечка данных», — говорится в электронном письме.
Получатель информации в электронном письме «не был частью данных, к которым был получен доступ», говорится в сообщении. Тем не менее, он предупредил пользователя «быть осторожным с нежелательными сообщениями с запросом дополнительной личной информации».
Коинтелеграф связался с Gnosis за комментариями, но к моменту публикации не получил ответа.
Связанный: Протокол CCIP и автоматизация Chainlink теперь доступны на Gnosis
Большинство юрисдикций требуют, чтобы биржи криптовалют или поставщики платежей записывали и хранили информацию «знай своего клиента» (KYC) о каждом клиенте, которого они обслуживают. Эта информация может включать изображения документов, удостоверяющих личность пользователей, имена, физические адреса, электронные письма и другие конфиденциальные данные. Сторонники требований KYC утверждают, что эта практика необходима для предотвращения отмывания денег, а критики утверждают, что она создает риск утечки личных данных.
27 июня поставщик идентификаторов криптовалюты Autix10 объявил, что его учетные данные администратора оказались в сети. Но в данном случае злоумышленник, судя по всему, не получил никаких реальных данных о клиентах.3 июля в приложении двухфакторной аутентификации Authy также произошла утечка данных, в результате которой были украдены номера телефонов пользователей.
