Binance KYC Breach – Μήπως συνέβη και αν ναι, ποιος πρέπει να κατηγορήσει;

Στις 7 Αυγούστου, η Binance, η μεγαλύτερη ανταλλαγή κρυπτονομισμάτων στον κόσμο (από τον ημερήσιο όγκο συναλλαγών), έπεσε θύμα σκανδάλου εισβολής που έβλεπε ότι ο κακοποιός να κατέχει ένα τεράστιο κομμάτι των δεδομένων Know Your Customer (KYC) (10.000+ προσωπικά) φωτογραφίες). Σύμφωνα με πληροφορίες, ο χάκερ απαιτεί συνολικά 300 Bitcoin (αξίας περίπου 3,5 εκατομμυρίων δολαρίων) από την ανταλλαγή, αλλιώς αυτός ή αυτή θα κυκλοφορήσει όλα τα δεδομένα.

Επίσης, αναφέρεται ότι κατά την έναρξη των δραστηριοτήτων του, ο χάκερ δημιούργησε μερικές ειδικές ομάδες Telegram (που έκτοτε ΤΕΡΜΑΤΙΣΜΟΣ ΛΕΙΤΟΥΡΓΙΑΣ) που φέρεται να περιελάμβανε πολύ ευαίσθητο υλικό. Ωστόσο, δεδομένου ότι όλα αυτά τα δεδομένα δεν είχαν ψηφιακό υδατογράφημα που συνήθως χρησιμοποιεί το Binance για τις εσωτερικές του πληροφορίες, υπάρχουν αμφιβολίες σχετικά με την αυθεντικότητα αυτού του υλικού. Σχετικά με το θέμα, η ομάδα ασφαλείας του Binance είχε τα ακόλουθα σχόλιο:

“Προς το παρόν, δεν έχουν παρασχεθεί αποδεικτικά στοιχεία που να δείχνουν ότι έχουν ληφθεί εικόνες KYC από το Binance, καθώς αυτές οι εικόνες δεν περιέχουν το ψηφιακό υδατογράφημα που έχει αποτυπωθεί από το σύστημά μας.”

Η Binance ισχυρίζεται ότι οι εικόνες που κυκλοφόρησαν μέχρι τώρα μπορούν να χρονολογηθούν από τον Φεβρουάριο, μια εποχή που η κορυφαία πλατφόρμα συναλλαγών χρησιμοποιούσε έναν τρίτο πάροχο υπηρεσιών για να επεξεργαστεί τις επαληθεύσεις του KYC. Παρομοίως, σύμφωνα με πληροφορίες, η ανταλλαγή ζήτησε επίσης από τον εισβολέα να τους παράσχει περισσότερες πληροφορίες σχετικά με την πηγή αυτών των δεδομένων KYC, αλλά το άτομο απλώς ζήτησε 300 BTC και αρνήθηκε να δώσει στην ομάδα αναμφισβήτητα στοιχεία.

Σε αυτό το σημείο, ορισμένοι αναρωτιούνται αν ο Binance μπορεί να προσπαθεί να απαλλαγεί από οποιοδήποτε αδίκημα στο θέμα εκτροπή της ευθύνης προς τον τρίτο προμηθευτή που διαχειρίζεται τις πληροφορίες KYC της εταιρείας εκείνη τη στιγμή. Ο Cointelegraph μίλησε με ανεξάρτητο συγγραφέα κρυπτογράφησης και αναλυτή Sam Town, ο οποίος επεσήμανε:

«Τα δεδομένα του KYC πρέπει – και είναι – να αντιμετωπίζονται επί του παρόντος εσωτερικά από μεγάλες ανταλλαγές. Μπορεί να είμαστε περισσότερο από μια δεκαετία μετά το Satoshi, αλλά το οικοσύστημα κρυπτογράφησης εξακολουθεί να βρίσκεται σε εξέλιξη. Λύσεις Stop-gap όπως η διαχείριση δεδομένων τρίτων κατασκευαστών μπορεί να είναι απαραίτητες για την εκκίνηση μιας πλατφόρμας, αλλά αυτό δεν απαλλάσσει την ευθύνη του Binance σε αυτήν την περίπτωση. “

Ένα παρόμοιο συναίσθημα μοιράζεται επίσης ο Paul Bischoff, συντάκτης της Comparitech, ο οποίος συμφωνεί ότι ακόμη και εταιρείες και κυβερνήσεις κατηγορούνται συνήθως για λάθη που έγιναν από τους εργολάβους και τις θυγατρικές τους και ως εκ τούτου η Binance φέρει ένα τεράστιο κομμάτι της ευθύνης σε σχέση με ολόκληρο το επεισόδιο – εάν τα δεδομένα αποδειχθούν γνήσια.

Ο Binance μιλά ενεργά διορθωτικά μέτρα για να σταματήσει η αιμορραγία

Ως μέρος των μέτρων ελέγχου της ζημιάς της εταιρείας, η ομάδα ασφαλείας της Binance προσφέρει μια ανταμοιβή 25 Bitcoin σε κάθε άτομο που μπορεί να τους παρέχει σχετικές πληροφορίες που μπορούν να βοηθήσουν στη σύλληψη του χάκερ / χάκερ πίσω από αυτό το συμβάν. Και ενώ όλα αυτά ακούγονται καλά, είναι δύσκολο να αποφευχθεί το γεγονός ότι η κορυφαία ανταλλαγή κρυπτογράφησης πέφτει επίσης θύμα σε άλλη σκάνδαλο πειρατείας τον περασμένο Μάιο, το οποίο είδε την εταιρεία να χάνει περίπου 7.000 Bitcoin (αξίας περίπου 40 εκατομμυρίων δολαρίων τη στιγμή της παραβίασης). Εκείνη την εποχή, πολλοί άνθρωποι προέβλεπαν ότι το συμβάν θα είχε ανεπανόρθωτη επίδραση στην εικόνα της εταιρείας. Ωστόσο, από τότε η απόδοση του Binance συνέχισε να βελτιώνεται.

Διάγραμμα τιμών BNB από τις 6 Αυγούστου και μετά.

Κέρμα Binance

Πηγή: Coin360.com

Από αυτήν την άποψη, μετά από αυτήν την τελευταία παραβίαση δεδομένων, η τιμή του Binance Coin (BNB) – το εγγενές ψηφιακό νόμισμα της κρυπτογραφικής ανταλλαγής – έχει αυξηθεί πάνω από 12%, υποδεικνύοντας έτσι ότι η παγκόσμια κοινότητα κρυπτογράφησης δεν φαίνεται να ενδιαφέρεται τόσο πολύ σχετικά με αυτό το πιθανό ατύχημα ασφαλείας. Σχετικά με το θέμα, η πόλη σημειώνει αμβλύ:

«Πάνω από 500.000 χρήστες Facebook είχαν τα προσωπικά τους δεδομένα – συμπεριλαμβανομένων των στοιχείων ταυτότητας και των δεδομένων τοποθεσίας – διέρρευσαν τον Απρίλιο του τρέχοντος έτους. Η Cambridge Analytica είδε τα ιδιωτικά δεδομένα 87 εκατομμυρίων χρηστών Facebook που εκμεταλλεύτηκαν στις αρχές του 2018. Μήπως κάποιος ενδιαφερόταν πραγματικά; Κάποιος σταμάτησε να χρησιμοποιεί το Facebook; Ο Bithumb έχασε 30 εκατομμύρια δολάρια σε χάκετ τον Ιούνιο – εξακολουθεί να μετατρέπει πάνω από 700 εκατομμύρια δολάρια σε ημερήσιο όγκο και κατατάσσεται στις κορυφαίες 30 ανταλλαγές. Κανείς δεν ενδιαφέρεται αρκετά για το απόρρητο των δεδομένων για να έχει σημασία το «hack» του Binance KYC.

Αξίζει επίσης να σημειωθεί ότι λίγο μετά το φως του περιστατικού, ο Διευθύνων Σύμβουλος του Binance, Changpeng Zhao (γνωστός και ως CZ), πήρε στο Twitter για να πει στους οπαδούς του ότι δεν πρέπει να πέσουν στο FUD «διαρροή KYC». Ωστόσο, αυτή η παρατήρηση δεν φαίνεται να ασχολείται με το επίκεντρο του ζητήματος: Εάν είναι αλήθεια ότι τα ευαίσθητα δεδομένα KYC διέρρευσαν στο διαδίκτυο, θέτει σε κίνδυνο την ιδιωτική ζωή και την ψηφιακή ασφάλεια πολλών ανθρώπων.

Εάν τα κλεμμένα δεδομένα αποδειχθούν πραγματικά, οι εν λόγω διαρροές 10K + θα μπορούσαν να αξίζουν πολλά χρήματα σε διάφορους εγκληματίες. Ο Bischoff επισημαίνει ότι θα μπορούσαν ενδεχομένως να χρησιμοποιηθούν από κακομεταχειριστές για να παρακάμψουν μέτρα ελέγχου ταυτότητας δύο παραγόντων ή ακόμη και να διευκολύνουν μια ποικιλία απάτης τραπεζικής πτώσης. Σε πρόσφατο άρθρο, Ο Bischoff έγραψε εκτενώς για τον τρόπο με τον οποίο οι εικόνες και οι σαρώσεις διαβατηρίων χρησιμοποιούνται τακτικά από κακόβουλους πράκτορες τρίτων για την εκτέλεση των παράνομων δραστηριοτήτων τους. Όχι μόνο αυτό, τα δεδομένα KYC που έχουν διαρρεύσει χρησιμοποιούνται συχνά για τη δημιουργία πλαστών ταυτότητας και διαβατηρίων, τα οποία μπορεί να πωληθεί για έως και 1.500 $.

Τέλος, σύμφωνα με διάφορες μη επιβεβαιωμένες αναφορές, είναι δεν φαίνεται σαν οι ενέργειες των χάκερ (ες) να είναι μια προσπάθεια διάδοσης οποιουδήποτε FUD σχετικά με το Binance, αλλά μάλλον υποκινούνται μόνο από τα λύτρα Bitcoin. Ο Cointelegraph έφτασε στο Binance για σχόλιο, αλλά ο αντιπρόσωπος της ανταλλαγής είπε ότι δεν υπάρχουν άλλες πληροφορίες.

Αναδύεται μια άλλη πλευρά της ιστορίας

Όλες οι πληροφορίες που έχουν παράσχει οι Binance και διάφορες αξιόπιστες πηγές μέσων έχουν ήδη συζητηθεί σε αυτό το σημείο. Ωστόσο, αν πιστεύουμε ότι ορισμένες θεωρίες, ένας χάκερ με το όνομα Bnatov Platon θα μπορούσε να είναι πίσω από ολόκληρη αυτή τη δοκιμασία. Υποτίθεται ότι ο Platon προσφέρθηκε να βοηθήσει τον Binance όταν το χρηματιστήριο παραβιάστηκε τον Μάιο. Προφανώς κατάφερε να εντοπίσει τα άτομα που έκλεψαν τα 7.000 BTC από την κορυφαία πλατφόρμα συναλλαγών, καθώς και να ανακτήσει περισσότερα από 60.000 αρχεία KYC που σχετίζονται με τη βάση πελατών της εταιρείας.

Σχετικά: Τα κεφάλαια είναι SAFU, αλλά ο Reorg δεν είναι: Αυτό που γνωρίζουμε για το Hack Binance

Ο Platon ισχυρίζεται ότι οι εισβολείς θα μπορούσαν να αποκτήσουν πρόσβαση σε όλες αυτές τις πληροφορίες διεισδύοντας στον λογαριασμό ενός εσωτερικού της εταιρείας που φέρεται να εγκατέστησε μια πίσω πόρτα στην ενότητα συναλλαγών της Binance (μέσω κλειδιών API) – επιτρέποντας έτσι στους χάκερς με το προαναφερθέν άθροισμα κρυπτογράφησης.

Ωστόσο, αυτό είναι που τα πράγματα γίνονται ενδιαφέροντα. Ο Platon – ο οποίος αναφέρεται στον εαυτό του ως “λευκός χάκερ” – φέρεται να απαιτούσε ανταμοιβή 300 Bitcoin από την Binance ως αντάλλαγμα για την παροχή στην εταιρεία λεπτομερειών για τους εισβολείς, συμπεριλαμβανομένων των ονομάτων, των αριθμών τηλεφώνου, των φωτογραφιών, των δεδομένων διακομιστή και της αλληλογραφίας τους. Αλλά όταν εκπρόσωποι που εργάζονταν για την ανταλλαγή δεν παραχώρησαν το αίτημά του για ανταμοιβή, κυκλοφόρησε τα στοιχεία της KYC για περισσότερους από 600 πελάτες Binance μέσω διαφορετικών ομάδων Telegram. Σε σχέση με το θέμα, σύμφωνα με πληροφορίες ο Πλάτων προστέθηκε:

“Όταν χρειάζομαι χρήματα, μπορώ απλώς να αποκρούσω ένα υπόλοιπο λογαριασμού ανταλλαγής (hacker’s). Θα μπορούσα να ανακτήσω περισσότερα από 600 ή 700 νομίσματα εύκολα χάνοντας το πορτοφόλι του χάκερ. […] Η απόφασή μου για διαπραγμάτευση με τον Binance ήταν λανθασμένη. Δεν είναι οι σωστοί άνθρωποι… γι ‘αυτό θα δημοσιεύσω όλα τα δεδομένα. »

Τέλος, η Platon ισχυρίζεται επίσης ότι παρακολούθησε το μεγαλύτερο μέρος των πτωμένων νομισμάτων Bitcoin που είχαν κλαπεί από το χρηματιστήριο τον Μάιο. Σύμφωνα με τον ίδιο, τουλάχιστον 2.000 από αυτά τα νομίσματα στάλθηκαν σε διάφορες διευθύνσεις πορτοφολιών μέσω διαφορετικών ανταλλαγών, συμπεριλαμβανομένων των Bitmex, Yobit, KuCoin και Huobi. Τώρα ισχυρίζεται ότι έχει σχέδια δημοσίευσης όλων των δεδομένων που έχει υπό τον έλεγχό του σε διάφορους δημόσιους τομείς.

Σε σχέση με το θέμα, φτάσαμε στον Benjamin Pirus, τον οικοδεσπότη ενός podcast που ονομάζεται “Crypto: Secrets of the Trade”. Πιστεύει ότι η αφήγηση συμπεριλαμβανομένου του Platon είναι αρκετά συναρπαστική και σίγουρα αξίζει να διερευνηθεί περαιτέρω. Όταν ρωτήθηκε για το ποιος θα ήταν ο καλύτερος τρόπος για να αντιμετωπίσει η CZ αυτήν την κατάσταση, ο Pirus απάντησε λέγοντας:

«Νομίζω ότι εξαρτάται πραγματικά από το πώς αντιμετωπίζει η Binance την κατάσταση τις επόμενες μέρες. Η CZ έχει κάνει αξιοπρεπή δουλειά τα τελευταία δύο χρόνια στο χειρισμό των δυσκολιών, ιδίως λαμβάνοντας υπόψη την ταχεία ανάπτυξη του χρηματιστηρίου. Ελπίζω ότι οι αρχές θα είναι σε θέση να συνεργαστούν με τον Binance για την επίλυση του ζητήματος, σύμφωνα με τους κατάλληλους νόμους και κανονισμούς. “