据Fractal网站7月17日发布的公告,区块链身份平台Fractal ID于7月14日遭遇数据泄露。该平台的合作伙伴包括支付系统Gnosis Pay、去中心化金融应用Acala、身份证明项目Polygon ID、社交媒体平台Lukso以及其他Web3应用。
在声明中,Fractal 没有说明哪些合作伙伴受到了漏洞的影响(如果有的话)。X 上的一些用户报告说,他们收到了 Gnosis Pay 团队的电子邮件,提醒他们注意该漏洞,并警告他们 "小心未经请求的通信"。
Fractal表示,此次漏洞只影响了 "约0.5%的Fractal ID用户群"。
根据通知,"Fractal ID外部的第三方未经授权访问了操作员的账户,并运行了一个API脚本,该脚本从UTC时间上午05:14开始访问用户的个人数据"。该团队发现漏洞后,"在世界协调时上午 07:29 之前采取行动,将攻击者从系统中注销"。因此,这次攻击似乎持续了 2 小时 14 分钟。
通知称,只有少数账户的数据存储在该特定运营商的账户中,仅占 Fractal 用户总数的 0.5%。对于这些特定用户,可能泄露的数据 "可能包括姓名、电子邮件地址、钱包地址、电话号码、实际地址、上传文件的图像和图片"。
Fractal 声称,此次泄露不会影响客户的系统或产品,因为它 "被控制在 [Fractal] 环境内"。即便如此,受影响的用户仍应 "谨慎对待主动要求提供更多个人信息的通信"。
Web3 开发人员保罗-丰塞卡(Paulo Fonseca)张贴了一封据说是发给 GnosisPay 部分用户的电子邮件的图片。"邮件称:"欧洲中部时间 2024 年 7 月 15 日星期一下午 7 点 30 分,我们的'了解你的客户'(KYC)服务提供商 Fractal ID 通知 Gnosis Pay 团队,该公司在 2024 年 7 月 14 日星期日发生了数据泄露事件。
邮件中称,收件人的信息 "不属于被访问的数据"。即便如此,它还是警告用户 "谨慎对待主动要求提供额外个人信息的通信"。
Cointelegraph 联系了 Gnosis 征求意见,但截至发稿时尚未收到回复。
相关: Chainlink 的 CCIP 协议和自动化现已在 Gnosis 上上线
大多数司法管辖区都要求加密货币交易所或支付提供商记录并存储其服务的每位客户的 "了解你的客户"(KYC)信息。这些信息可能包括用户的身份证件、姓名、实际地址、电子邮件和其他敏感数据的图像。支持 KYC 要求的人声称,这种做法对于防止洗钱是必要的,而批评者则声称,这种做法会带来个人数据泄露的风险。
6 月 27 日,加密 ID 提供商 Autix10 宣布其管理凭据已在网上泄露。但在这种情况下,攻击者似乎没有获得任何实际的客户数据。7 月 3 日,双因素身份验证应用程序 Authy 也遭遇了数据泄露,导致用户电话号码泄露。