Ang Data ng Customer ng Binance ay Nag-leak: Ang Alam Namin at Ang T Namin

Binance

, ang pinakamalaking palitan ng Cryptocurrency sa mundo ayon sa dami ng kalakalan, ay nagsabing iniimbestigahan nito ang diumano'y pagtagas ng impormasyon sa pag-verify ng mga customer nito. Maaaring makaapekto ang pagtagas ng hanggang 60,000 indibidwal na user na nagpadala ng impormasyon ng KYC sa kumpanya noong 2018 at 2019.

Ang pagtagas na ito ay sinasabing direktang nauugnay sa isang hack na nakakuha ng 7,000 Bitcoin noong nakaraang Mayo.

Noong Miyerkules, isang Telegram group na ginawa ng isang admin sa ilalim ng pseudonym na "Guardian M" ay namahagi ng daan-daang larawan ng mga indibidwal na may hawak ng kanilang mga ID at mga piraso ng papel na may nakasulat na "Binance, 02/24/18," na nagsasabing ang data na ipinakita ay na-hack mula sa exchange. Nagbigay ang hacker sa CoinDesk ng daan-daang larawan at natukoy namin ang ilang user na nakakakilala sa mga larawan ng kanilang mga mukha at mga personal na ID na ipinadala nila sa Binance para sa mga layunin ng pagkilala sa iyong customer.

Sinabi ng hacker sa CoinDesk na mayroon siyang hindi bababa sa 60,000 pa at ilalabas niya ang mga ito sa paglipas ng panahon. Mayroon kaming access sa halos 1,000.

Ang Know-your-customer, o KYC, ay isang legal na kinakailangan ng mga institusyong pampinansyal upang mangolekta ng impormasyong nagpapakilala para sa lahat ng mga customer na sumusubok na mag-trade, mag-withdraw at magdeposito.

Sa isang tugon noong Miyerkules, Binance sabi ang impormasyong ipinakalat sa channel ng Telegram ay hindi tumutugma sa data sa sariling panloob na sistema ng Binance, at dahil dito sinabi na walang ebidensya sa ngayon upang ipakita na ito ay direktang nagmumula sa mismong palitan.

"Ang mga larawang ito ay hindi naglalaman ng digital watermark na na-imprint ng aming system," sabi ng kumpanya. "Ang aming pangkat ng seguridad ay masigasig sa trabaho na hinahabol ang lahat ng posibleng mga lead sa pagtatangkang tukuyin ang pinagmulan ng mga larawang ito, dahil nananatiling hindi malinaw kung saan nakuha ang mga ito."

Idinagdag ni Binance na ang hindi kilalang indibidwal ay dati nang humingi ng 300 BTC mula dito para sa "pagpigil ng 10,000 mga larawan na may pagkakatulad sa data ng Binance KYC." Matapos tumanggi si Binance na ipagpatuloy ang pag-uusap, nagsimulang ipamahagi ng indibidwal ang mga larawan online at sa mga media outlet.

Sa katunayan, mula Lunes nitong linggo, naabot na ng CoinDesk ang tatlong tao na ang mga larawan ng ID , bukod sa daan-daang iba pa, ay unang na-upload sa isang pampublikong available na cloud drive at kalaunan ay umiikot sa grupong Telegram ngayon.

Dalawang indibidwal ang nagkumpirma sa CoinDesk ng pagiging tunay ng mga larawan at nagsumite sila ng mga naturang larawan sa Binance.com noong Peb. 24, 2018.

ONE sa dalawang indibidwal, na humiling na manatiling anonymous, ay nagpakita sa CoinDesk ng kanyang Binance login history mula Enero 2018 nang una niyang irehistro ang account, sa pamamagitan ng mga alerto sa email na natanggap niya sa tuwing pupunta siya sa site.

Isinasaad ng history ng alerto sa email na nag-log in siya sa Binance.com, noong Peb. 24, 2018, bandang 5:00 UTC.

Dagdag pa, ipinakita ng indibidwal na ito sa CoinDesk ang isang imahe ng ID ng kanyang na-save sa kanyang telepono na kuha noong Peb. 24 bandang 6:00 UTC, na mukhang kapareho ng kumakalat sa loob ng grupong Telegram.

Sinabi ng pangalawang indibidwal sa CoinDesk na nakatanggap siya ng email mula sa customer support ng Binance noong Peb. 24 habang sinusubukan niyang gawing tama ang laki ng kanyang isinumiteng larawan. Idinagdag niya na ang email ay ipinadala mula sa isang email address na may domain ng binance.zendesk.com. Ang palitan ay gumagawa ng mga regular na anunsyo sa isang site na may ganoong pangalan ng domain.

Maaaring biktima ng pagnanakaw ng pagkakakilanlan ang ikatlong user na aming nakipag-ugnayan. Ang larawang aming sinuri ay naglalaman ng mukha na katulad ng mga biktima ngunit maling impormasyon sa address.

Ang pagsusuri sa antas ng error ng larawan ay nagmumungkahi na ang ilan sa mga larawan ay nabago, lalo na ang mas maliwanag na mga gilid sa larawan sa itaas. "Ang mga katulad na gilid ay dapat magkaroon ng katulad na liwanag sa resulta ng ELA ," isinulat ng photo forensics site FotoForensics. "Ang lahat ng mga high-contrast na gilid ay dapat magmukhang magkatulad sa isa't isa, at lahat ng mababang-contrast na mga gilid ay dapat magmukhang magkatulad. Sa orihinal na larawan, ang mga low-contrast na gilid ay dapat na halos kasingliwanag ng high-contrast na gilid."

Sa tugon ngayon, sinabi ni Binance na noong Pebrero 2018, nakipagkontrata ito sa isang third-party na vendor upang pangasiwaan ang pag-verify ng kilala-iyong-customer "upang mahawakan ang mataas na dami ng mga kahilingan sa oras na iyon."

Ang palitan ay hindi nagpaliwanag sa kung anong antas ang third-party na vendor na ito ay nagbibigay ng access sa data ng kakilala mo sa customer o kung nagawa nitong makuha ang aktwal na mga file ng imahe sa saligan.

"Sa kasalukuyan, nag-iimbestiga kami kasama ang third-party na vendor para sa karagdagang impormasyon. Patuloy kaming nag-iimbestiga at KEEP sa iyo," sabi ng kumpanya.

Larawan sa pamamagitan ng mga na-hack na file