Платформа блокчейн-ідентифікації Fractal ID опублікувала постмортемальний опис витоку даних, якого компанія зазнала 14 липня. З тих пір порушення було відстежено до інциденту 2022 року, коли співробітник повторно використав зламаний пароль.
За даними Fractal ID, зламаний обліковий запис належав оператору платформи протягом трьох років і мав права адміністратора. Це дозволило зловмиснику обійти внутрішні системи конфіденційності даних, хоча моніторинг системи допоміг заблокувати зловмисника протягом 29 хвилин.
Основна причина порушення
Невиконання оператором операційної політики безпеки та навчання, а також повторне використання облікових даних із минулих хакерів сприяли злому.
14 липня 2024 року постачальник послуг перевірки ідентифікації криптовалюти виявив незвичну активність в одному зі своїх бек-офісів. Цю діяльність було швидко визначено як зловмисну атаку, яка призвела до викрадання даних приблизно 0,5% бази користувачів.
Однак Fractal ID зазначив у посмертному звіті, що у відповідь вимкнув усі облікові записи в скомпрометованій системі та обмежив доступ для старших співробітників. Компанія також надала пріоритет посиленню заходів безпеки для запобігання майбутнім інцидентам, таким як впровадження обмеження запитів, детальнішої авторизації, жорсткішого моніторингу невдалих спроб автентифікації та суворішого контролю IP.
За темою: Нові «накладні атаки» є зростаючою загрозою для користувачів криптовалюти, — генеральний директор із безпеки
На додаток до внутрішніх зусиль, Fractal ID зв’язався з відповідними органами захисту даних і відділом поліції з кіберзлочинності в Берліні. Компанія також співпрацює зі службами кібербезпеки для моніторингу будь-якого потенційного розповсюдження викрадених даних на відомих сайтах з витоком даних.
Вплив порушення даних
Згідно зі звітом, викрадені дані, які торкнулися близько 6300 користувачів, включають різні рівні інформації, від перевірок підтвердження особи до повних перевірок KYC. Ці дані можуть включати імена, адреси електронної пошти, номери телефонів, адреси гаманців, фізичні адреси та зображення завантажених документів. Fractal ID також зв’язався безпосередньо з постраждалими користувачами, щоб повідомити їх про порушення.
Співзасновники Fractal ID Джуліан, Хуліо, Луїс і Анна висловили жаль з приводу інциденту та підкреслили свою відданість захисту даних користувачів. Вони повторили мету компанії — перейти до системи зберігання даних із самоохороною для підвищення безпеки даних.
Ця помилка безпеки служить яскравим нагадуванням про труднощі захисту даних. Autix10, постачальник ідентифікаторів криптовалюти, 27 червня виявив, що їхні адміністративні дані для онлайн-реєстрації були розкриті. Однак у цьому випадку зловмисник, схоже, не отримав доступу до жодних даних клієнтів.
