区块链身份识别平台 Fractal ID 发布了一份报告,概述了该公司在 7 月 14 日遭遇的数据泄露事件。此次数据泄露事件可追溯到 2022 年的一次事件,当时一名员工重复使用了被泄露的密码。
据 Fractal ID 称,被泄露的账户属于一名在该平台工作了三年的操作员,并拥有管理权限。这使得攻击者得以绕过内部数据隐私系统,尽管系统监控在 29 分钟内就锁定了攻击者。
漏洞根源
运营商未能遵守操作安全政策和培训,再加上重复使用过去黑客攻击的凭证,助长了漏洞的发生。
2024 年 7 月 14 日,加密身份验证提供商在其一个后台办公室检测到异常活动。这一活动很快被认定为恶意攻击,导致约 0.5% 的用户数据外泄。
不过,Fractal ID 在事后报告中指出,公司已禁用被入侵系统中的所有账户,并限制高级员工的访问权限。该公司还优先加强了安全措施,以防止未来事件的发生,如实施请求节流、更细粒度的授权、更严格地监控失败的验证尝试以及更严格的 IP 控制。
首席执行官
除内部努力外,Fractal ID 还联系了相关数据保护机构和柏林网络犯罪警察局。公司还与网络安全服务机构合作,监控已知数据泄露网站上被盗数据的潜在传播情况。
数据泄露的影响
据报告称,被盗数据影响到约 6300 名用户,其中包括从身份证明检查到完整的 KYC 检查等不同层次的信息。这些数据可能包括姓名、电子邮件地址、电话号码、钱包地址、实际地址和上传文件的图像。Fractal ID 还直接联系了受影响的用户,向他们通报了漏洞情况。
Fractal ID 联合创始人 Julian、Julio、Lluis 和 Anna 对此次事件表示遗憾,并强调了他们保护用户数据的承诺。他们重申了公司的目标,即采用自我保管存储系统来加强数据安全。
这次安全漏洞严酷地提醒我们保护数据的困难。加密 ID 提供商 Autix10 于 6 月 27 日透露,他们的在线管理登录信息被曝光。不过,在这起事件中,攻击者似乎并未获得任何客户数据。