根据区块链身份平台 Fractal ID 7 月 17 日发布的公告,该平台于 7 月 14 日遭遇数据泄露。该平台的合作伙伴包括支付系统 Gnosis Pay、去中心化金融应用 Acala、人格证明项目 Pogon ID、社交媒体平台 Lukso 以及其他 Web3 应用。
Fractal 在声明中并未指明哪些合作伙伴受到了此次入侵的影响。X 上的一些用户报告称收到了 Gnosis Pay 团队发来的电子邮件,提醒他们注意此次入侵,并警告他们小心未经请求的通信。
Fractal表示,此次漏洞仅影响了约 0.5% 的 Fractal ID 用户群。
根据通知,Fractal ID 之外的第三方未经授权访问了运营商的帐户,并运行了 API 脚本,该脚本于 UTC 时间上午 5:14 开始访问用户的个人数据。团队注意到这一漏洞后,他们采取行动,在 UTC 时间上午 7:29 之前将攻击者从系统中注销。因此,攻击似乎发生在 2 小时 14 分钟内。
通知指出,只有有限数量的账户数据存储在该特定运营商的账户中,仅占 Fractal 总用户群的 0.5%。对于这些特定用户,可能泄露的数据可能包括姓名、电子邮件地址、钱包地址、电话号码、实际地址、上传文件的图像和图片。
Fractal 声称,此次入侵并未影响客户的系统或产品,因为入侵仅发生在 [Fractal] 环境中。即便如此,受影响的用户也应该警惕那些要求提供更多个人信息的未经请求的通信。
Web3 开发人员 Paulo Fonseca发布了一张据称发送给部分 GnosisPay 用户的电子邮件图片。电子邮件中写道:“2024 年 7 月 15 日星期一欧洲中部时间晚上 7:30,我们的了解您的客户 (KYC) 服务提供商 Fractal ID 通知 Gnosis Pay 团队,其在 2024 年 7 月 14 日星期日遭遇了数据泄露。”
邮件中称,收件人的信息不属于被访问的数据。即便如此,它还是警告用户对要求提供更多个人信息的未经请求的通信保持谨慎。
大多数司法管辖区都要求加密货币交易所或支付提供商记录和存储他们服务的每个客户的KYC信息。这些信息可能包括用户身份证件、姓名、实际地址、电子邮件和其他敏感数据的图像。KYC 要求的支持者声称这种做法对于防止洗钱是必要的,而批评者则声称这会带来个人数据泄露的风险。
6 月 27 日,加密 ID 提供商 Autix10 宣布其管理凭证已在网上泄露。但在这种情况下,攻击者似乎并未获得任何实际客户数据。7 月 3 日,双因素身份验证应用程序 Authy 也遭遇数据泄露,导致用户电话号码被泄露。
