Nền tảng Blockchain Identity Fractal Id gặp sự cố lộ dữ liệu

Trong tuyên bố của mình, Fractal không xác định đối tác nào bị ảnh hưởng bởi sự việc, nếu có. Một số người dùng trên X cho biết họ đã nhận được email từ đội ngũ Gnosis Pay cảnh báo về việc xâm nhập và cảnh báo họ "cẩn thận đối với các thông báo không được yêu cầu."

Fractal khẳng định rằng vụ việc chỉ ảnh hưởng "khoảng 0,5% số người dùng của Fractal ID."

Theo thông báo, "Một bên thứ ba ngoài Fractal ID đã truy cập không xác nhận vào tài khoản của một nhà điều hành và chạy một script API bắt đầu từ 05:14 sáng UTC để truy cập dữ liệu cá nhân của người dùng." Khi nhóm nhận thấy vụ việc, họ "hành động để đăng xuất kẻ tấn công khỏi hệ thống trước 07:29 sáng UTC." Do đó, vụ tấn công có vẻ đã diễn ra trong khoảng hai giờ và 14 phút.

Thông báo cho biết chỉ một số tài khoản có dữ liệu được lưu trữ trong tài khoản của nhà điều hành cụ thể này, chiếm khoảng 0,5% tổng số người dùng của Fractal. Đối với những người dùng cụ thể này, dữ liệu có thể đã bị rò rỉ "có thể bao gồm tên, địa chỉ email, địa chỉ ví, số điện thoại, địa chỉ vật lý, hình ảnh và hình ảnh của tài liệu đã tải lên."

Fractal khẳng định rằng vụ việc không ảnh hưởng đến hệ thống hoặc sản phẩm của khách hàng, vì nó "được hạn chế trong [Môi trường của Fractal]." Tuy nhiên, những người dùng bị ảnh hưởng nên "cẩn thận với các thông báo không được yêu cầu yêu cầu thông tin cá nhân bổ sung," thông báo.

Đợt phát triển Web3 Paulo Fonseca đăng một hình ảnh về một email được gửi đến một số người dùng GnosisPay. “Vào lúc 19:30 CET Thứ hai, ngày 15 tháng 7 năm 2024, nhà cung cấp dịch vụ Know Your Customer (KYC) của chúng tôi, Fractal ID, thông báo đội ngũ Gnosis Pay biết rằng họ đã bị xâm nhập ngày Chủ nhật, 14 tháng 7 năm 2024,” email cho biết.

Thông tin của người nhận email "không phải là một phần của dữ liệu đã được truy cập," nó nói. Tuy vậy, nó cảnh báo người dùng "cẩn thận với các thông báo không được yêu cầu yêu cầu thông tin cá nhân bổ sung."

Coincuatui đã liên hệ với Gnosis để nhận ý kiến nhưng không nhận được phản hồi vào thời điểm xuất bản.

Liên quan: Giao thức CCIP và Tự động hóa của Chainlink hiện đã có tại Gnosis

Đa số các khu vực yêu cầu các sàn giao dịch tiền điện tử hoặc nhà cung cấp thanh toán ghi lại và lưu trữ thông tin xác minh khách hàng (KYC) của mỗi khách hàng mà họ phục vụ. Thông tin này có thể bao gồm hình ảnh của tài liệu xác minh danh tính của người dùng, tên, địa chỉ vật lý, email và dữ liệu nhạy cảm khác.

Người ủng hộ các yêu cầu KYC khẳng định rằng thực hành này cần thiết để ngăn chặn rửa tiền, trong khi những người phê bình cho rằng nó đặt ra nguy cơ dữ liệu cá nhân bị rò rỉ.

Vào ngày 27 tháng 6, nhà cung cấp dịch vụ ID tiền điện tử Autix10 thông báo rằng thông tin quản trị của họ đã bị rò rỉ trực tuyến. Nhưng trong trường hợp này, kẻ tấn công không có vẻ như đã thu được bất kỳ dữ liệu khách hàng thực sự nào. Vào ngày 3 tháng 7, ứng dụng xác minh hai yếu tố Authy cũng gặp sự cố lộ dữ liệu, dẫn đến việc các số điện thoại của người dùng bị rò rỉ.

Tạp chí: Crypto-Sec: Ngân hàng Evolve bị xâm nhập dữ liệu, Người yêu Turbo Toad mất 3,6K Đô la