Fractal ID, nhà cung cấp dịch vụ xác minh danh tính kỹ thuật số, đã công bố một sự cố rò rỉ dữ liệu ảnh hưởng đến khoảng 0,5% người dùng của mình — theo trang web của công ty, con số này có thể lên tới hơn 50.000 người dùng.
API bị xâm phạm bao gồm thông tin nhạy cảm của người dùng như tên, địa chỉ email, địa chỉ ví, số điện thoại, địa chỉ vật lý và hình ảnh của các tài liệu KYC đã tải lên.
Fractal được sử dụng bởi các dự án Web3, bao gồm Polygon ID, Ripple, XRP Ledger, Avalanche, Gnosis, Near, Aurora, Acala, Polymath, BNB Chain, Lukso, Aleph Zero và Arbitrum Foundation.
Công ty báo cáo rằng sự cố xảy ra vào ngày 14 tháng 7 năm 2024, khi một bên thứ ba không được phép truy cập vào tài khoản của một nhà điều hành và thực thi một script API để trích xuất thông tin cá nhân của người dùng. Vụ rò rỉ bắt đầu lúc 12:14 và kéo dài hơn hai giờ.
/* custom css – generated by TagDiv Composer */
/* custom css – generated by TagDiv Composer */
Công ty cho biết đã có hành động ngay lập tức để giảm thiểu tác động của vụ rò rỉ và triển khai các biện pháp bảo mật bổ sung. Fractal ID cũng đã báo cáo sự cố này với các cơ quan bảo vệ dữ liệu liên quan và bộ phận cảnh sát tội phạm mạng.
Để phản ứng với vụ rò rỉ, Fractal ID nhấn mạnh rằng sự cố chỉ xảy ra trong môi trường của họ và không ảnh hưởng đến hệ thống hoặc sản phẩm của khách hàng sử dụng dịch vụ của họ. Tuy nhiên, công ty khuyến cáo người dùng bị ảnh hưởng nên cảnh giác với các liên lạc không được yêu cầu yêu cầu thông tin cá nhân, vì dữ liệu bị rò rỉ có thể được chia sẻ với các bên thứ ba hoặc sử dụng cho mục đích thương mại.
Cách tiếp cận của Fractal ID để giải quyết vụ rò rỉ bao gồm việc liên hệ trước với người dùng bị ảnh hưởng, sau đó là các khách hàng bị ảnh hưởng, trước khi công bố công khai.
Sự cố này đã nhận được sự chỉ trích từ một số thành viên của cộng đồng tiền điện tử. Nhà điều tra blockchain ZachXBT đặt câu hỏi về khả năng bảo mật dữ liệu người dùng của công ty và gợi ý rằng các nhóm sử dụng sản phẩm của Fractal ID nên cân nhắc các lựa chọn thay thế.
Tác động tiềm tàng của vụ rò rỉ
Trang web của công ty tuyên bố sản phẩm của họ loại bỏ “rủi ro của các nền tảng tập trung”, điều này đặt ra câu hỏi về bản chất phi tập trung của Fractal. Fractal tuyên bố sứ mệnh của họ bắt nguồn từ “quyền sở hữu thực sự về dữ liệu”,
“Chúng tôi tin rằng Danh tính Phi tập trung là chìa khóa để cách mạng hóa cách mọi người tương tác với web, cho phép quyền sở hữu thực sự về dữ liệu và quyền chọn lọc chia sẻ nó.”
Tuy nhiên, một đánh giá về tài liệu dành cho nhà phát triển của công ty dường như cho thấy tất cả thông tin người dùng có thể truy cập được qua một cuộc gọi API duy nhất. Khi người dùng ủy quyền cho một ứng dụng truy cập dữ liệu của họ, có vẻ như quyền này không cần được yêu cầu lại cho các yêu cầu dữ liệu tiếp theo.
Do đó, khó có thể thấy người dùng có chủ quyền và quyền sở hữu dữ liệu của họ như thế nào. Một điểm cuối tập trung đã bị kẻ tấn công truy cập, dẫn đến việc mất các dữ liệu nhạy cảm nhất của người dùng mà không có bất kỳ tin nhắn nào được ký bằng khóa riêng tư của người dùng.
Hàng ngàn thông tin nhận dạng của người dùng, chẳng hạn như quét hộ chiếu và giấy phép lái xe, đã bị đánh cắp trong vụ rò rỉ mà không được “chia sẻ chọn lọc” bởi chủ sở hữu. Phạm vi thiệt hại mà vụ rò rỉ này có thể gây ra là rất rộng.
Dữ liệu bị đánh cắp nhạy cảm nhất có thể được sử dụng để tạo tài khoản giả mạo, khởi động các cuộc tấn công lừa đảo, cố gắng xâm nhập vào các tài khoản hiện có hoặc thậm chí là đánh cắp danh tính trên diện rộng hơn.
Với quyền truy cập vào tên, địa chỉ email và địa chỉ ví, các đối tượng xấu có thể tạo ra các kế hoạch mạo danh thuyết phục hoặc tung ra các cuộc tấn công kỹ thuật xã hội tinh vi.
Địa chỉ vật lý có thể được sử dụng để theo dõi, quấy rối hoặc tệ hơn, với các báo cáo về việc xâm nhập nhà nhắm vào các chuyên gia tiền điện tử ngày càng tăng. Các địa chỉ ví bị xâm phạm có thể được sử dụng để theo dõi lịch sử giao dịch hoặc nhắm mục tiêu vào các tài khoản có giá trị cao.
Trong khi khía cạnh ‘phi tập trung’ của dữ liệu người dùng Fractal vẫn còn là một dấu hỏi, một yếu tố Web3 rõ ràng của công ty, giá token (FCL) của nó, đã bị ảnh hưởng nhẹ, giảm 3%. Với khối lượng giao dịch 24 giờ dưới 3.000 USD và vốn hóa thị trường là 144.037 USD, token đã giảm 43% so với đầu năm.
Người dùng bị ảnh hưởng bởi vụ rò rỉ này nên cảnh giác, theo dõi tài khoản của họ chặt chẽ và cân nhắc cập nhật các biện pháp bảo mật trên nhiều dịch vụ trực tuyến để giảm thiểu các rủi ro tiềm ẩn.
Giả Bảo Ngọc
Theo Crypto Slate
/* custom css – generated by TagDiv Composer */
/* custom css – generated by TagDiv Composer */
