Une extorsion qui a mal tourné : les négociations de Binance avec son « KYC Leaker »

À emporter

• Avant de publier mercredi en ligne des détails sur de vrais clients de Binance, un pirate informatique opérant sous le pseudonyme «Bnatov Platon« a eu une conversation d'un mois avec les journalistes de CoinDesk .
• Lors des discussions, Platon a révélé comment il aurait piraté les individus à l'origine d'un piratage antérieur au cours duquel 7 000 Bitcoin ont été volés sur la plus grande bourse du monde.
• Platon a affirmé que ses objectifs étaient altruistes et qu'il souhaitait simplement révéler l'identité des pirates informatiques à la justice. Cependant, il semble qu'il ait également demandé de l'argent en échange de la promesse de ne pas divulguer les données des clients de Binance.
• Platon et Binance ont eu de nombreuses discussions et auraient conclu un accord qui a ensuite été annulé. CoinDesk a obtenu les transcriptions complètes de ces conversations.

Dans ce qui semble être un jeu élaboré de pirates informatiques piratant des pirates informatiques, un individu opérant sous le pseudonyme de « Bnatov Platon » a fourni à CoinDesk de nombreuses informations sur ses tentatives d'obtenir des millions de dollars en échange du refus de divulguer des informations sur les clients de ONEun des plus grands échanges de Cryptomonnaie au monde, Binance.

Les informations sur le piratage, recueillies au cours d'une interaction d'un mois avec le pirate, ont été rendues publiques aujourd'hui lorsque Platon a commencé à publier ce qu'il prétendait être des images et des informations sur de vrais clients de Binance, d'abord sur un site Web ouvert, puis sur Telegram.

L’idée que les informations des clients pourraient ne pas être en sécurité sur la plus grande bourse du monde a suffi à attirer immédiatement l’attention du secteur, les principaux sites d’information et les influenceurs de Twitter diffusant rapidement la nouvelle.

Pourtant, l’histoire dans son ensemble était – et reste – plus compliquée qu’elle ne le paraissait au premier abord.

Tout d'abord, les racines du problème sont profondes, remontant à un incident survenu en mai, lorsqu'un groupe extérieur s'est introduit dans les comptes utilisateurs de Binance et a volé 7 000 Bitcoin. À l'époque, Binance avait, comme toujours, rendu public ses problèmes, les décrivant comme une « violation de sécurité à grande échelle » au cours de laquelle « des pirates ont pu obtenir un grand nombre de clés API, de codes 2FA et potentiellement d'autres informations sur les utilisateurs ».

Il n’a toutefois pas été mentionné que des informations d’identification d’utilisateurs auraient pu être divulguées.

C'est au cours de cet événement que Platon allègue que les informations qu'ils ont obtenues sur les clients de Binance ont été produites, bien que dans un revirement de situation, il affirme qu'il n'était pas l'auteur du piratage, mais qu'il a piraté un « initié » de l'échange impliqué dans le braquage.

Dans un autre registre, Binance allègue que les données clients ont été obtenues auprès d'une société tierce anonyme qu'elle a engagée pour mener son processus de connaissance du client (KYC) depuis février 2018.

De plus, CoinDesk a confirmé qu'au moins deux des centaines de profils divulgués appartiennent à de vrais clients ayant fourni des informations d'identification à la plateforme d'échange. ONEune des images que nous avons analysées semblait avoir été falsifiée, mais la personne dont l'identité apparaissait sur la photo a confirmé avoir créé un compte Binance à l'époque des fuites.

Lors d'échanges avec CoinDesk, Platon a affirmé être un « pirate informatique en chapeau blanc » et, dans quelques commentaires, a suggéré qu'il demandait à Binance une prime de bug pour la divulgation des informations. Les négociations ont cependant échoué, et des représentants de Platon et de Binance ont indiqué qu'il avait demandé 300 Bitcoin afin de développer les données qu'il détenait.

Dans un communiqué, Binance a répondu à la « peur, à l’incertitude et au doute » suscités par la nouvelle :

Nous tenons à vous informer qu'un individu non identifié nous a menacés et harcelés, exigeant 300 BTC en échange de la rétention de 10 000 photos présentant des similitudes avec les données KYC de Binance. Nous enquêtons toujours sur cette affaire pour en vérifier la légitimité et la pertinence.

Nous avons contacté Binance pour obtenir des commentaires supplémentaires.

Platon affirme avoir 60 000 informations KYC dans sa collection.

Ce qui suit est ce que nous savons des négociations et de leurs conséquences.

Déplacer de l'argent

L'interaction de CoinDesk avec Platon a commencé en juillet, lorsque nous avons commencé à signaler le mouvement des bitcoins volés lors de la violation de Binance en mai.

Binance a réagi au piratage à l'époque, affirmant que des acteurs malveillants avaient acquis les API des clients, les codes à deux facteurs et « potentiellement d'autres informations ».

Platon a présenté l'incident différemment. Il affirme qu'un membre de l'organisation a contribué à rendre publiques plusieurs API, permettant ainsi aux pirates d'accéder directement aux comptes clients. Les pirates ont stocké des listes de clés API clients (les codes utilisés pour accéder à leurs comptes à distance) dans des fichiers texte que Platon prétendait pouvoir acquérir. Cela leur a permis d'accéder à des fonds à distance.

Les fichiers « contiennent également des informations extrêmement graves », notamment les adresses e-mail et les mots de passe des clients, a déclaré Platon. Les clients menacés avaient ouvert des comptes Binance entre 2018 et 2019.

À l'aide de ces informations personnelles, les pirates ont créé un script malveillant leur permettant de retirer instantanément 0,002 BTC (environ 23 $) à la fois. Le code a placé un ordre d'achat pour un jeton obscur appelé BlockMason Credit Protocol et l'a converti en Bitcoin. Le code, que nous avons examiné, pouvait également exécuter plusieurs fonctions via des appels d'API qui ne sont plus ouverts ni publics. Cependant, lorsque nous avons testé un appel d'API, une simple Request d'heure du serveur, il était toujours ouvert. On ignore si les points de terminaison d'API fermés ont été supprimés ou simplement masqués.

Platon allègue que les pièces volées étaient conservées dans un portefeuille hébergé par le fournisseur de portefeuille logiciel Bitcoin Blockchain, le Maker de l'échange PIT récemment lancé.

En suivant une piste partant de ce portefeuille, Platon a découvert que les pirates avaient blanchi 2 000 bitcoins via Bitmex, Yobit, KuCoin et Huobi et cherchaient à convertir jusqu'à 1 million de dollars en Bitcoin par jour.

Comment cela a fonctionné

Sur les 60 000 comptes clients que Platon accuse d'avoir été piratés, il a partagé 636 fichiers avec CoinDesk. Il espérait que l'attention médiatique inciterait Binance à révéler l'ampleur réelle du piratage et à traduire les attaquants en justice.

De son côté, Binance a annoncé que les Bitcoin volés provenaient uniquement de ses comptes professionnels et n'affectaient pas les consommateurs. À l'époque, la plateforme avait également suspendu les dépôts et les retraits pour protéger ses utilisateurs. Cependant, l'étendue des informations divulguées sur les utilisateurs a été tenue Secret.

En plus des images de passeports, de permis de conduire et de portraits réels d'utilisateurs brandissant leurs cartes d'identité, Platon a également fourni quelques exemples de métadonnées associées aux images.

Par exemple, ce code suggère qu'un utilisateur a effectué le KYC le 20/03/2018 :

"ID": 1573211,"userId": "25276308","front": "/IDS_IMG20180320/25276308_0_9416819.jpg","back": "/IDS_IMG20180320/25276308_1_7376587.jpg","hand": "/IDS_IMG20180320/25276308_2_4413070.jpg","auditor": "chenxiaozi","message": "","status": 1,"createTime": "2018-03-20 08:12:33","updateTime": "2018-03-21 01:48:33","number": "s532557730580","firstName": "m[SUPPRIMÉ]","nom": "[SUPPRIMÉ]","type": 2,"sexe": 1,"pays": "États-Unis d'Amérique (USA) (美国)","e-mail": "[SUPPRIMÉ]@outlook.com","version": 1

Le KYC a été réalisé en Chine, comme le suggèrent le nom de l'auditeur et l'ajout de « 美国 » à la fin du code pays. La signification des autres champs n'est pas claire.

De plus, Platon a envoyé à CoinDesk un code qu'il a décrit comme un accès à une porte dérobée placée dans les serveurs de Binance par un « initié ». L'analyse du code suggère que Platon a raison.

« Il s'agit très probablement d'une attaque de clé API », a déclaré Viktor Shpak, directeur technique de la société de développement blockchain.VisibleMagic« Ils ont récupéré des clés API quelque part. »

Les clés API sont utilisées pour authentifier les services au sein des échanges et d'autres applications et pourraient permettre à un pirate de faire n'importe quoi, depuis l'achat de Cryptomonnaie au nom d'une victime jusqu'au déplacement réel de Cryptomonnaie vers un portefeuille externe.

Shpak a déclaré que le code en particulier suggère une porte dérobée au sein de Binance, bien que CoinDesk n'ait pas été en mesure de vérifier indépendamment l'accès via cette fonction et la clé API associée.

public static String getApiKey(String uri, String userId) {  String time = "";  time = get("https://www.binance.com/api/v1/time");  Map<String, String> param = new HashMap<String, String>();  param.put("userId", userId);  param.put("desc", "api" + JSON.parseObject(time).getString("serverTime"));  return post(uri + "/exchange/mgmt/account/getApiKey", param);  }

« Il est fort probable qu'un initié ait créé un gestionnaire pour accéder aux clés API des utilisateurs, puis qu'il ait collecté ces clés API et obtenu l'accès aux données des utilisateurs et ait créé une belle boîte à outils pour résoudre ce problème », a-t-il déclaré.

Cependant, lorsqu'il a été confronté à cette information à l'époque, un représentant de Binance a déclaré : « Selon les dernières informations de l'équipe, il n'y a actuellement aucune preuve qu'il s'agisse d'images KYC de Binance et elles ne sont pas filigranées selon notre processus système. »

La motivation de Platon

Lors d'une conversation avec CoinDesk, Platon a également contacté le directeur de la croissance (CGO) de Binance, Ted Lin, dans le cadre d'un effort multi-fronts visant à traduire les pirates en justice (du moins, c'est ce qu'il prétend).

« Je souhaitais personnellement faire de Binance la première plateforme d'échange au monde capable de détecter les pirates informatiques. Ce sera extrêmement positif pour la réputation de Binance », a déclaré Planton, qui a ajouté :

J'ai informé [Lin] que je détenais des informations privilégiées, telles que des informations sur lui, ses communications avec des personnes extérieures et même sa photo. Je lui ai également indiqué que je disposais d'informations sur les pirates : informations sur le serveur, leur identité, leurs numéros de téléphone, ETC

Dans un message de Lin que Platon a partagé avec CoinDesk, le CGO était disposé à payer pour des informations qui pourraient conduire à l'arrestation des pirates informatiques, des initiés et à la récupération des fonds.

Cependant, dans ce même message, Lin a réprimandé Platon pour la « campagne FUD » qu’il menait.

« Comme je l'ai dit, nous ne réagissons T aux extorsions », a déclaré Lin. Lors de conversations précédentes avec CoinDesk, Platon affirmait être riche et exploitant d'une plateforme d'échange de Crypto dont la taille représente, selon lui, un tiers de celle de Binance.

Il a également déclaré qu'il n'était T intéressé par une rémunération financière. « Lorsque j'ai besoin d'argent, je peux simplement pirater le solde ONEun compte d'échange (celui d'un pirate). Je pourrais facilement récupérer plus de 600 ou 700 pièces en piratant le portefeuille d'un pirate », a déclaré Platon.

« Mais je n'ai T touché un seul centime alors que de plus en plus de pièces étaient blanchies et déplacées pour effacer toute trace », a-t-il déclaré, affirmant qu'il ne voulait T avertir les pirates qu'il était sur leur piste.

La conversation échoue

Malgré les objectifs prétendument altruistes de Platon, CoinDesk a appris plus tard des responsables de Platon et de Binance que le prétendu hacker white hat demandait 300 Bitcoin, soit environ 3 millions de dollars au taux de change de juillet, payés en 50 versements pour ses informations.

Cependant, les négociations ont échoué. Le 22 juillet, cinq jours seulement après avoir contacté CoinDesk, Platon a annoncé avoir mis fin aux négociations avec Binance.

« Pendant environ un mois de négociations, ils n'ont T payé un seul centime », a déclaré Platon. « Mon accord avec Binance est rompu. »

C'est alors que les conversations de Platon avec Binance ont dégénéré en une négociation d'otages, Platon menaçant de divulguer toutes les informations client qu'il avait acquises.

Platon a fourni l'échange présumé suivant avec Ted Lin où les négociations ont échoué :

Ted Lin, [20.07.19 19:54]Je vois que vous avez déjà transmis vos informations aux médias.

Ted Lin, [20.07.19 19:59]



Étant donné les dégâts causés par votre campagne de FUD, quelle que soit la prime que vous demandiez pour ces informations, elle serait bien moindre. Comme je l'ai dit, nous ne réagissons T aux extorsions. Cependant, nous sommes disposés à obtenir davantage d'informations sur les auteurs si vous disposez d'informations utiles pouvant nous permettre de les mettre derrière les barreaux et de récupérer des fonds.




Platon, [21.07.19 16:53]



comme je l'ai dit, je n'ai T besoin de ton argent




Platon, [21.07.19 16:53]Je suis déjà en rupture de contrat.Platon, [21.07.19 16:54]

Je ne m'attends pas à une réaction de votre part non plus.

Platon, [21.07.19 16:59]

Mais j'aime bien voir la réaction des initiés et des hackers lorsque des nouvelles sont publiées. Encore une fois, votre réaction ne m'intéresse pas.

Ted Lin, [21.07.19 19:04]Je pensais que tu voulais voir ces pirates se faire prendre ?

Platon, [21.07.19 19:11]Je le voulais, mais pas maintenant.

Platon, [21.07.19 19:12]



Je préfère m'éloigner et KEEP à regarder.




Ted Lin, [21.07.19 19:19]Nous sommes toujours intéressés par le paiement d'informations pouvant conduire à l'arrestation de pirates informatiques, d'initiés et au recouvrement de fonds.

Ted Lin, [21.07.19 19:19]

N'hésitez pas à nous faire part de vos informations complémentaires.

Ted Lin, [21.07.19 19:20]Nous étions en train de vérifier le type d'informations dont vous disposez avant que vous ne décidiez de ne pas parler.

Ted Lin, [21.07.19 19:21]

N'hésitez pas à me contacter si vous changez d'avis et souhaitez continuer.

Ted Lin, [21.07.19 19:21]



Merci pour votre aide.



Platon, [21.07.19 19:28]Alors payez-moi.

« Ma décision de négocier avec Binance était une erreur », a-t-il déclaré. « Ce ne sont pas les bonnes personnes… donc je vais simplement publier toutes les données à ses clients. »

En effet, lors d'une conversation avec un représentant de Binance le 22 juillet, Platon a déclaré : « Je m'intéresse actuellement aux pirates informatiques et aux personnes internes de votre entreprise. J'aimerais beaucoup connaître leur réaction lorsque la nouvelle sera publiée. »

Le 5 août, les menaces de Platon sont devenues réalité, lorsqu'il a téléchargé un document contenant un total de 500 photos pour les KYC de 166 personnes sur un site de partage de fichiers ouvert, sous le pseudonyme « Guardian M ».

Ceci a été suivi par un deuxième envoi contenant des centaines d'images d'individus tenant leurs cartes d'identité, dans un groupe Telegram mercredi matin.

L’explication de Platon est simple : ils pensent qu’ils font ce qu’il faut.

« Les gens KEEP de me demander : "Pourquoi publiez-vous ces photos KYC ?", "Comment les avez-vous obtenues ?" La raison pour laquelle je publie ces KYC est simple : pour vous avertir, vous qui tradez sur Binance », ont-ils écrit. « Si j'avais besoin d'argent, je le vendrais clandestinement, pas pour le publier. »

Image via Twitter. Image d'en-tête et images internes via CoinDesk.

Platon n'a pas répondu aux demandes de commentaires supplémentaires et n'a pas indiqué s'il publierait davantage. Nous avons contacté Binance pour obtenir des commentaires. John Biggs a fourni une assistance marketing et commerciale à Viktor Shpak de VisibleMagic, le développeur qui a analysé le code Binance.