Các danh sách chứa thông tin nhạy cảm về người tham dự sự kiện trong ngành công nghiệp Tiền Điện Tử đang bị bán trong danh nghĩa “tiếp thị và quảng bá, tìm kiếm khách hàng,” tạo ra một kho tàng dữ liệu tiềm năng cho những kẻ lừa đảo và các đối tượng xấu.
Các danh sách này có thể chứa thông tin như họ tên đầy đủ, số điện thoại, quốc tịch, chức vụ công việc, và công ty, cùng với các liên kết mạng social cá nhân và doanh nghiệp.
Một số thậm chí bao gồm ngày mua vé của người tham dự, loại vé, hệ điều hành sử dụng để mua vé, số lượng người theo dõi trên mạng social, địa chỉ ví Tiền Điện Tử, và các tin nhắn gửi tới ban tổ chức sự kiện.
Thông tin như vậy thường được thu thập qua các mẫu đăng ký tham dự sự kiện tại các hội nghị hoặc sự kiện phụ. Gần đây, các sự kiện sử dụng các nền tảng như lu.ma để phát hành vé thường yêu cầu liên kết tới các tài khoản mạng social cụ thể trước khi chấp nhận đơn đăng ký.
TinTucBitcoin đã nhận được “mẫu” của các danh sách này từ một người bán qua Telegram, bao gồm bốn danh sách với khoảng 60 đến 100 người tham dự, xuất phát từ nhiều sự kiện khác nhau, với mỗi danh sách chứa đựng các điểm dữ liệu khác nhau về người tham dự.
Các sự kiện dường như diễn ra chủ yếu vào mùa thu năm 2024, và số điện thoại của người tham dự cho thấy các sự kiện diễn ra ở nhiều quốc gia khác nhau — chủ yếu ở Đông Nam Á và Ấn Độ.
Một người bán duy nhất có quyền truy cập vào danh sách từ nhiều quốc gia cho thấy rằng đây không phải là một sự cố đơn lẻ, mà là một hoạt động buôn bán quốc tế có tổ chức đối với dữ liệu người tham dự sự kiện blockchain.
Các danh sách này dường như chỉ là phần nổi của tảng băng — hình ảnh của các mẫu khác được cho là liên quan đến Blockchain Fest và Devcon cũng đã được chia sẻ.
TinTucBitcoin không đề cập rằng các nhà tổ chức hoặc nhân viên của các sự kiện lớn có liên quan đến việc buôn bán, vì hàng trăm sự kiện phụ tại các hội nghị cũng thu thập thông tin tương tự.
Đặc biệt có giá trị là một danh sách dường như có 1.700 người tham dự hội nghị AIBC tháng 11 năm 2024 tại Malta. Giá yêu cầu cho danh sách này, mà người bán nói sẽ được phân phối cho “chỉ một vài người,” gần 4.000 USD, nhưng đã giảm xuống còn 650 USD sau vài ngày.
“Dữ liệu này rất nội bộ và thông tin độc quyền.”
Người bán tuyên bố rằng số tiền thu được sẽ được sử dụng để mua thêm danh sách từ các sự kiện khác, cụ thể là từ Coinfest và DevCon, mà họ đã chia sẻ hình ảnh chụp màn hình cơ sở dữ liệu.
Người bán dường như hành động như một người bán lại dữ liệu và, tuy ẩn danh, cả người bán và người biên soạn dữ liệu đều dường như là người Nga — được chỉ ra bởi một trong những tab của tập dữ liệu mẫu với tiêu đề “List2” bằng tiếng Nga và phân tích AI về văn bản của người bán cho thấy họ là người nói tiếng Nga bản địa.
Người bán thậm chí đã cố gắng biện minh cho việc bán dữ liệu “không bị rò rỉ,” khẳng định rằng đây “không phải là thông tin nhạy cảm” và rằng “hầu hết mọi người đều cởi mở với loại tiếp thị này.”
Thông tin này có thể giúp rất nhiều cho những kẻ lừa đảo social nhằm vào những người có tên trong danh sách với các liên kết độc hại và các cuộc tấn công phishing để rút cạn ví Tiền Điện Tử của họ.
Người sáng lập AIBC, Eman Pulis, muốn biết quy mô của danh sách khi TinTucBitcoin yêu cầu bình luận và nói rằng sự kiện có “các giao thức rất nghiêm ngặt chống lại rò rỉ dữ liệu.” Pulis bổ sung rằng nhiều cơ sở dữ liệu tương tự là giả mạo và rằng “chúng tôi thường xuyên được đề nghị các cơ sở dữ liệu của đối thủ cạnh tranh.”
Cơ sở dữ liệu đầy đủ không thể được xác minh, nhưng người bán đã đề nghị xác minh chéo dữ liệu của họ với bất kỳ người tham dự AIBC nào đã biết.
“AIBC, nếu bạn biết ai đã có mặt, tôi có thể chứng minh thực tế, cho tôi họ và tôi sẽ tìm ra người đó.”
Dù không rõ dữ liệu đến từ đâu, rõ ràng là các danh sách loại này được những kẻ không trung thực săn đón, và người tham dự nên nhận thức được rủi ro khi điền thông tin cá nhân vào các mẫu trực tuyến.