18.07.2024 12:38

Fractal ID втратив облікові дані понад 50 тис. користувачів через витік даних

Постачальник послуг з верифікації особи Web3, Fractal ID, зазнав масштабного витоку даних, який скомпрометував конфіденційну інформацію понад 50 000 користувачів. Цей інцидент викликає серйозні питання щодо здатності компанії захищати дані користувачів та ставить під сумнів її твердження про децентралізацію.

On Sunday, July 14th, 2024 the Fractal ID user base was accessed by a malicious external party that gained unauthorized access to an operator’s account. Our team acted quickly, but roughly 0.5% of our user base was affected.

Our first line of responsibilities lies with the users…
— FRACTAL ID (@Fractal_ID) July 17, 2024

Згідно з офіційною заявою Fractal ID, неавторизована третя сторона отримала доступ до облікового запису оператора та використала API-скрипт для крадіжки особистої інформації користувачів. Скомпрометовані дані включають імена, адреси електронної пошти, адреси гаманців, номери телефонів, фізичні адреси та зображення завантажених KYC-документів.

Витік даних зачіпає близько 0,5% з 1 мільйона користувачів Fractal ID, що робить його одним із найсерйозніших інцидентів у цій галузі. Постраждали користувачі проєктів web3, таких як Polygon ID, Ripple, XRP Ledger, Avalanche, Gnosis, Near, Aurora, Acala, Polymath, BNB Chain, Lukso, Aleph Zero та Arbitrum Foundation.

I hope all of these teams move away from using your product.

Your team had one job of securing user data and could not even do that properly.

Why should anyone ever continue to do business with you? https://t.co/9jlZzzZpqJ pic.twitter.com/RhfTmie0ja
— ZachXBT (@zachxbt) July 18, 2024

Fractal ID стверджує, що вжила заходів для пом’якшення наслідків витоку, але критики ставлять під сумнів ефективність її протоколів безпеки. Дослідник блокчейну ZachXBT закликав команди web3-проєктів, які використовують Fractal ID, розглянути альтернативні рішення.

Окрім ризиків для безпеки, витік даних ставить під сумнів децентралізований характер Fractal ID. Компанія позиціює себе як платформу, яка надає користувачам «справжнє володіння даними», але інцидент свідчить про те, що дані, по суті, залишаються централізованими.

Зловмисники отримали доступ до всієї інформації користувачів за допомогою одного виклику API, що ставить під сумнів твердження про «вибірковий доступ». Це робить користувачів вразливими до шахрайства, фішингових атак, крадіжки особистих даних та інших злочинів.

Хоча ціна токена Fractal ID (FCL) не зазнала значного впливу одразу після оголошення про витік, інцидент може мати довгострокові наслідки для репутації компанії. Користувачам, які постраждали від цього злому, рекомендується уважно стежити за своїми акаунтами та вжити заходів для посилення безпеки своїх онлайн-даних.

Нагадаємо, у червні OKX підтвердила, що з кількох облікових записів користувачів було викрадено кошти внаслідок витоку особистих даних.