Fractal ID, nhà cung cấp dịch vụ xác minh danh tính kỹ thuật số, đã tiết lộ một vụ vi phạm dữ liệu ảnh hưởng đến khoảng 0.5% cơ sở người dùng của họ – theo website và hồ sơ X của công ty, con số này có thể lên tới hơn 50,000 người dùng.
API bị xâm phạm bao gồm thông tin nhạy cảm của người dùng như tên, địa chỉ email, địa chỉ ví, số điện thoại, địa chỉ thực và hình ảnh của tài liệu KYC được tải lên.
Fractal được sử dụng bởi các dự án Web3, bao gồm Polygon ID, Ripple, XRP Ledger, Avalanche, Gnosis, Near, Aurora, Acala, Polymath, BNB Chain, Lukso, Aleph Zero và Arbitrum Foundation.
Công ty báo cáo rằng sự cố xảy ra vào ngày 14 tháng 7 năm 2024, khi một bên thứ ba truy cập trái phép vào tài khoản của nhà điều hành và thực thi tập lệnh API để trích xuất thông tin cá nhân của người dùng. Vụ vi phạm bắt đầu lúc 05:14 sáng UTC và chỉ kéo dài hơn hai giờ.
Công ty cho biết họ đã thực hiện hành động ngay lập tức để giảm thiểu tác động của vi phạm và thực hiện các biện pháp bảo mật bổ sung.
Fractal ID cũng đã báo cáo vụ việc cho các cơ quan bảo vệ dữ liệu có liên quan và bộ phận cảnh sát tội phạm mạng.
Để đối phó với hành vi vi phạm, Fractal ID nhấn mạnh rằng sự cố được xử lý trong môi trường của họ và không ảnh hưởng đến hệ thống hoặc sản phẩm của khách hàng đang sử dụng dịch vụ của họ.
Tuy nhiên, công ty khuyên người dùng bị ảnh hưởng nên thận trọng với các liên lạc không mong muốn yêu cầu thông tin cá nhân vì dữ liệu bị vi phạm có thể được chia sẻ với bên thứ ba hoặc sử dụng cho mục đích thương mại.
Cách tiếp cận của Fractal ID để giải quyết vi phạm bao gồm việc liên hệ trước với người dùng bị ảnh hưởng, sau đó là khách hàng bị ảnh hưởng, trước khi đưa ra thông báo công khai.
Vụ việc đã thu hút sự chỉ trích từ một số thành viên của cộng đồng tiền điện tử. Nhà điều tra blockchain ZachXBT đã đặt câu hỏi về khả năng bảo mật dữ liệu người dùng của công ty và đề xuất rằng các nhóm sử dụng sản phẩm của Fractal ID nên xem xét các lựa chọn thay thế.
Tác động tiềm ẩn của vi phạm
Website của công ty tuyên bố sản phẩm của họ loại bỏ “rủi ro của các nền tảng tập trung”, điều này đặt ra câu hỏi về bản chất phân cấp của Fractal.
Fractal tuyên bố sứ mệnh của mình bắt nguồn từ “quyền sở hữu thực sự đối với dữ liệu”,
“Chúng tôi tin rằng Danh tính phi tập trung là chìa khóa để cách mạng hóa cách các cá nhân tương tác với website, cho phép quyền sở hữu thực sự đối với dữ liệu và khả năng chia sẻ dữ liệu đó một cách có chọn lọc”.
Tuy nhiên, việc xem xét tài liệu dành cho nhà phát triển của công ty dường như cho thấy rằng tất cả thông tin người dùng đều có thể truy cập được thông qua một lệnh gọi API.
Sau khi người dùng cho phép ứng dụng truy cập vào dữ liệu của họ, có vẻ như quyền này không cần thiết nữa cho các yêu cầu dữ liệu tiếp theo.
Vì vậy, thật khó để biết người dùng có chủ quyền và quyền sở hữu dữ liệu như thế nào. Kẻ tấn công có thể truy cập điểm cuối tập trung, dẫn đến mất dữ liệu nhạy cảm nhất của người dùng mà không có bất kỳ tin nhắn nào được ký bởi khóa riêng của người dùng.
Hàng nghìn thông tin nhận dạng của người dùng, chẳng hạn như bản quét hộ chiếu và giấy phép lái xe, đã bị đánh cắp do vi phạm mà không được chủ sở hữu “chia sẻ có chọn lọc”. Phạm vi thiệt hại mà vi phạm này có thể gây ra là rất lớn.
Dữ liệu bị đánh cắp nhạy cảm nhất có thể được sử dụng để tạo tài khoản lừa đảo, gieo mầm các cuộc tấn công lừa đảo, cố gắng xâm phạm các tài khoản hiện có hoặc thậm chí là đánh cắp danh tính rộng hơn.
Với quyền truy cập vào tên, địa chỉ email và địa chỉ ví, kẻ xấu có thể tạo ra các kế hoạch mạo danh thuyết phục hoặc thực hiện các cuộc tấn công kỹ thuật xã hội tinh vi.
Địa chỉ vật lý có thể được sử dụng để theo dõi, quấy rối trong thế giới thực hoặc tệ hơn là với các báo cáo về các cuộc xâm nhập vào nhà nhắm vào các chuyên gia tiền điện tử ngày càng gia tăng.
Địa chỉ ví bị xâm phạm có thể được sử dụng để theo dõi lịch sử giao dịch hoặc nhắm mục tiêu vào các tài khoản có giá trị cao.
Mặc dù khía cạnh ‘phi tập trung’ của dữ liệu người dùng Fractal vẫn còn bị nghi ngờ, nhưng một yếu tố Web3 rõ ràng của công ty, giá token FCL, đã bị ảnh hưởng nhẹ, giảm 2.9%.
Với khối lượng giao dịch trong 24 giờ dưới 3,000 USD và vốn hóa thị trường là 144,037 USD, token đã giảm 43% từ đầu năm đến nay.
Người dùng bị ảnh hưởng bởi vi phạm này nên luôn cảnh giác, giám sát chặt chẽ tài khoản của mình và cân nhắc cập nhật các biện pháp bảo mật trên nhiều dịch vụ trực tuyến khác nhau để giảm thiểu rủi ro tiềm ẩn.
Tin Tức Bitcoin tổng hợp
