Un’estorsione andata male: dentro le negoziazioni di Binance con il suo “KYC Leaker”

La conclusione

• Prima di pubblicare online mercoledì i dettagli sui veri clienti di Binance, un hacker che operava sotto lo pseudonimo di "Bnatov Platone" ha avuto una conversazione durata un mese con i giornalisti CoinDesk .
• Nel corso dei colloqui, Platon ha rivelato come avrebbe hackerato i responsabili di un precedente attacco informatico, in cui erano stati rubati 7.000 Bitcoin dal più grande exchange del mondo.
• Platon ha affermato che i suoi obiettivi erano altruistici e che voleva semplicemente portare l'identità degli hacker alla giustizia. Tuttavia, sembra che abbia anche chiesto soldi in cambio della promessa che non avrebbe rilasciato i dati dei clienti di Binance.
• Platon e Binance avrebbero tenuto numerose conversazioni e, a quanto si dice, avrebbero stretto un accordo che poi sarebbe stato annullato. CoinDesk ha ottenuto le trascrizioni complete di queste conversazioni.

In quello che sembra essere un elaborato gioco di hacker che hackerano altri hacker, un individuo che opera sotto lo pseudonimo di "Bnatov Platon" ha fornito a CoinDesk informazioni dettagliate sui propri tentativi di ottenere milioni di dollari in cambio del rifiuto di rilasciare informazioni sui clienti di ONE dei più grandi exchange Criptovaluta al mondo, Binance.

Le informazioni sull'attacco informatico, raccolte nel corso di un mese di interazione con l'hacker, sono diventate di dominio pubblico oggi, quando Platon ha iniziato a pubblicare quelle che ha dichiarato essere immagini e informazioni su veri clienti di Binance, prima su un sito web aperto al pubblico e poi su Telegram.

L'idea che le informazioni dei clienti potessero non essere al sicuro sul più grande exchange del mondo è stata sufficiente a suscitare immediatamente l'attenzione del settore, con i principali siti web di notizie e gli influencer di Twitter che hanno rapidamente diffuso la notizia.

Tuttavia, la storia completa era – e rimane – più complicata di quanto sembrasse a prima vista.

Innanzitutto, ha radici profonde, che risalgono a un incidente di maggio, quando un gruppo esterno è entrato negli account utente di Binance e ha rubato 7.000 Bitcoin. All'epoca, Binance era, come sempre, pubblica sui suoi problemi, descrivendoli come parte di una "violazione della sicurezza su larga scala" in cui "gli hacker sono stati in grado di ottenere un gran numero di chiavi API utente, codici 2FA e potenzialmente altre informazioni".

Non è stato tuttavia menzionato il fatto che potrebbero essere trapelate informazioni identificative dell'utente.

È durante questo evento che Platon sostiene che le informazioni che hanno ottenuto sui clienti di Binance sono state prodotte, anche se, in un colpo di scena, afferma di non essere stato l'autore dell'hacking, ma di aver hackerato un "insider" dell'exchange coinvolto nella rapina.

D'altra parte, Binance sostiene che i dati dei clienti sono stati ottenuti da una società terza, la cui identità non è stata resa nota, con cui ha stipulato un contratto per condurre la verifica KYC (Know-Your-Customer) a partire da febbraio 2018.

Inoltre, CoinDesk ha confermato che almeno due delle centinaia di profili trapelati appartengono a clienti reali che hanno fornito informazioni identificative all'exchange. ONE delle immagini che abbiamo analizzato sembrava essere stata manomessa, ma la persona la cui identità appariva nella foto ha confermato di aver creato un account Binance all'epoca delle fughe di notizie.

Nelle conversazioni con CoinDesk, Platon ha affermato di essere un "hacker white hat" e, in alcuni commenti, ha suggerito che stavano chiedendo a Binance una ricompensa per bug per aver esposto le informazioni. Le trattative si sono tuttavia interrotte e Platon e i rappresentanti di Binance hanno riferito che aveva chiesto 300 Bitcoin per espandere ulteriormente i dati in suo possesso.

In una dichiarazione, Binance ha risposto alla “paura, all’incertezza e al dubbio” suscitati dalla notizia:

"Vorremmo informarti che un individuo non identificato ci ha minacciati e molestati, chiedendo 300 BTC in cambio della mancata consegna di 10.000 foto che presentano somiglianze con i dati KYC di Binance. Stiamo ancora indagando su questo caso per verificarne la legittimità e la pertinenza."

Abbiamo contattato Binance per ulteriori commenti.

Platon sostiene di avere 60.000 informazioni KYC nella sua collezione.

Di seguito riportiamo quanto sappiamo sui negoziati e sulle loro conseguenze.

Spostare denaro

L'interazione di CoinDesk con Platon è iniziata a luglio, quando abbiamo iniziato a segnalare il movimento dei bitcoin rubati durante la violazione di Binance avvenuta a maggio.

Binance ha risposto all'attacco informatico all'epoca, affermando che gli autori di attacchi hanno acquisito le API dei clienti, i codici a due fattori e "potenzialmente altre informazioni".

L'opinione di Platon sull'incidente era diversa. Sostengono che un insider all'interno dell'organizzazione abbia contribuito a rendere pubbliche diverse API che hanno consentito agli hacker di accedere direttamente agli account dei clienti. Gli hacker hanno archiviato elenchi di chiavi API dei clienti, i codici utilizzati per accedere ai loro account da remoto, in file di testo che Platon ha affermato di essere in grado di acquisire. Ciò ha consentito agli hacker di accedere ai fondi da remoto.

I file "contengono anche informazioni estremamente serie", tra cui gli indirizzi email dei clienti e le password degli account, ha affermato Platon. I clienti a rischio avevano aperto account Binance tra il 2018 e il 2019.

Utilizzando queste informazioni personali, gli hacker hanno scritto uno script dannoso che ha permesso loro di prelevare istantaneamente 0,002 BTC (circa $ 23) alla volta. Il codice ha piazzato un ordine di acquisto per un token oscuro chiamato BlockMason Credit Protocol e lo ha convertito in Bitcoin. Il codice, che abbiamo esaminato, potrebbe anche eseguire una serie di funzioni utilizzando chiamate API che non sono più aperte o pubbliche. Quando abbiamo testato ONE chiamata API, tuttavia, una semplice Request per l'ora del server, era ancora aperta. Non è chiaro se gli endpoint API chiusi siano stati rimossi o semplicemente nascosti.

Platon sostiene che le monete rubate erano conservate in un portafoglio ospitato dal fornitore di software per portafogli Bitcoin Blockchain, il Maker del recentemente lanciato exchange PIT .

Seguendo una pista che partiva da questo portafoglio, Platon ha scoperto che gli hacker avevano riciclato 2.000 bitcoin tramite Bitmex, Yobit, KuCoin e Huobi e cercavano di convertire fino a 1 milione di dollari in Bitcoin al giorno.

Come ha funzionato

Dei 60.000 account dei clienti che Platon sostiene siano stati violati, ha condiviso 636 file con CoinDesk. Sperava che l'attenzione dei media avrebbe spinto Binance ad annunciare la vera portata dell'hacking e a consegnare gli aggressori alla giustizia.

Da parte sua, Binance ha annunciato che i Bitcoin rubati provenivano solo dai loro conti aziendali e non avevano avuto ripercussioni sui consumatori. All'epoca, l'exchange aveva anche sospeso depositi e prelievi per proteggere gli utenti. Tuttavia, l'entità delle informazioni utente trapelate è stata tenuta Secret.

Oltre alle immagini di passaporti, patenti di guida e veri e propri primi piani di utenti che mostrano i loro documenti d'identità, Platon ha fornito anche alcuni esempi di metadati associati alle immagini.

Ad esempio, questo codice suggerisce che un utente ha eseguito la verifica KYC il 20/03/2018:

"ID": 1573211,"userId": "25276308","front": "/IDS_IMG20180320/25276308_0_9416819.jpg","back": "/IDS_IMG20180320/25276308_1_7376587.jpg","hand": "/IDS_IMG20180320/25276308_2_4413070.jpg","auditor": "chenxiaozi","message": "","status": 1,"createTime": "2018-03-20 08:12:33","updateTime": "2018-03-21 01:48:33","number": "s532557730580","firstName": "m[REDATTO]","lastName": "[REDATTO]","type": 2,"sex": 1,"country": "Stati Uniti d'America (USA)（美国）","email": "[REDATTO]@outlook.com","version": 1

Il KYC ha avuto luogo in Cina, come suggerito dal nome del revisore e dall'aggiunta di "美国" alla fine del codice paese. Non è chiaro cosa rappresentino gli altri campi.

Inoltre, Platon ha inviato a CoinDesk un codice che ha descritto come un accesso a una backdoor piazzata nei server Binance da un "insider". L'analisi del codice suggerisce che Platon ha ragione.

"È molto probabile che si tratti di un attacco alla chiave API", ha affermato Viktor Shpak, CTO presso la società di sviluppo blockchainMagia visibile"Hanno raccolto le chiavi API da qualche parte."

Le chiavi API vengono utilizzate per autenticare i servizi all'interno di exchange e altre applicazioni e potrebbero consentire a un hacker di fare qualsiasi cosa, dall'acquisto Criptovaluta per conto della vittima allo spostamento effettivo Criptovaluta su un portafoglio esterno.

Shpak ha affermato che il codice in particolare suggerisce la presenza di una backdoor all'interno di Binance, sebbene CoinDesk non sia stata in grado di verificare in modo indipendente l'accesso tramite questa funzione e la chiave API associata.

pubblico statico String getApiKey(String uri, String userId) {  String time = "";  time = get("https://www.binance.com/api/v1/time");  Map<String, String> param = new HashMap<String, String>();  param.put("userId", userId);  param.put("desc", "api" + JSON.parseObject(time).getString("serverTime"));  return post(uri + "/exchange/mgmt/account/getApiKey", param);  }

"Molto probabilmente un insider ha creato un gestore per ottenere l'accesso alle chiavi API degli utenti, quindi ha raccolto tali chiavi API e ha ottenuto l'accesso ai dati degli utenti e ha creato un buon toolkit per risolvere il problema", ha affermato.

Tuttavia, quando all'epoca è stato confrontato con queste informazioni, un rappresentante di Binance ha affermato: "A quanto pare, non ci sono prove che queste siano immagini KYC di Binance e non sono filigranate secondo il nostro processo di sistema".

La motivazione di Platone

Parlando con CoinDesk, Platon ha anche contattato il responsabile della crescita (CGO) di Binance, Ted Lin, nell'ambito di uno sforzo su più fronti per assicurare alla giustizia gli hacker (o almeno così sostiene).

"Personalmente volevo che Binance diventasse il primo exchange al mondo a catturare gli hacker. Sarà estremamente positivo per la reputazione di Binance", ha detto Planton, che ha aggiunto:

"Ho informato [Lin] che ho informazioni riservate come i dettagli dell'insider, i dettagli delle comunicazioni dell'insider con gli outsider e persino la foto dell'insider. L'ho informato che ho i dettagli degli hacker: informazioni sul server, la loro identità, i loro numeri di telefono e ETC."

In un messaggio di Lin che Platon ha condiviso con CoinDesk, il CGO si è dichiarato disposto a pagare per informazioni che potrebbero portare all'arresto degli hacker e degli insider e al recupero dei fondi.

Tuttavia, nello stesso messaggio, Lin ha respinto Platon per la “campagna FUD” che stava conducendo.

"Come ho detto, T reagiamo alle estorsioni", ha detto Lin. In precedenti conversazioni con CoinDesk, Platon ha affermato di essere ricco in modo indipendente e che l'operatore di uno scambio Cripto , a suo dire, è un terzo delle dimensioni di Binance.

Ha anche detto che T era interessato alla remunerazione finanziaria. "Quando ho bisogno di soldi, posso semplicemente hackerare ONE saldo del conto di scambio (di un hacker). Potrei recuperare più di 600 o 700 monete facilmente hackerando il portafoglio di un hacker", ha detto Platon.

"Ma T ho toccato un solo centesimo mentre guardavo sempre più monete essere riciclate e spostate in giro per cancellarne le tracce", ha detto, sostenendo di T voler far sapere agli hacker che era sulle loro tracce.

La conversazione si interrompe

Nonostante i presunti scopi altruistici di Platon, CoinDesk ha poi appreso da Platon e dai funzionari di Binance che il presunto hacker white hat aveva richiesto 300 Bitcoin, circa 3 milioni di dollari al tasso di cambio di luglio, pagati in 50 rate per ottenere le sue informazioni.

Da qualche parte lungo il percorso, tuttavia, le trattative si sono interrotte. Il 22 luglio, appena cinque giorni dopo aver contattato inizialmente CoinDesk, Platon ha dichiarato di aver smesso di negoziare con Binance.

"Per circa un mese di trattative, T hanno pagato un solo centesimo", ha detto Platon. "Il mio accordo con Binance è rotto".

Fu allora che le conversazioni di Platon con Binance degenerarono in una negoziazione di ostaggi, con Platon che minacciava di scaricare qualsiasi informazione sui clienti che avesse acquisito.

Platon ha fornito il seguente presunto scambio di battute con Ted Lin, in cui le trattative si sono interrotte:

di Ted Lin, [20.07.19 19:54]

vedo che hai già dato le informazioni che hai ai media

di Ted Lin, [20.07.19 19:59]



dato che il danno della tua campagna FUD è già stato fatto, qualsiasi ricompensa tu abbia chiesto per le informazioni sarebbe significativamente inferiore. Come ho detto, T reagiamo alle estorsioni. Ma siamo disposti a ottenere maggiori informazioni relative ai colpevoli se hai informazioni utili che possono consentirci di mettere i cattivi dietro le sbarre e recuperare i fondi.




Platone, [21.07.19 16:53]



come ho detto T ho bisogno dei tuoi soldi




Platone, [21.07.19 16:53]

Sono già fuori dai giochi

Platone, [21.07.19 16:54]

Non mi aspetto neanche che tu reagisca.

Platone, [21.07.19 16:59]

ma mi piace vedere la reazione degli insider e degli hacker quando vengono pubblicate le notizie. ancora una volta non mi interessa la vostra reazione.

di Ted Lin, [21.07.19 19:04]

Pensavo volessi vedere quegli hacker catturati?

Platone, [21.07.19 19:11]

Volevo. ma non ora.

Platone, [21.07.19 19:12]



preferisco allontanarmi e KEEP a guardare.




di Ted Lin, [21.07.19 19:19]

Siamo ancora interessati a pagare per informazioni che possono portare all'arresto di hacker, insider, recupero di fondi.

di Ted Lin, [21.07.19 19:19]

Facci sapere se hai altre informazioni che possono aiutarti a raggiungere questo obiettivo.

di Ted Lin, [21.07.19 19:20]

Stavamo verificando il tipo di informazioni che hai prima che decidessi di non parlare.

di Ted Lin, [21.07.19 19:21]

Fammi sapere se cambi idea e vuoi continuare.

di Ted Lin, [21.07.19 19:21]



Grazie per l'aiuto.



Platone, [21.07.19 19:28]

Allora pagami.

"La mia decisione di negoziare con Binance è stata sbagliata", ha detto, "Non sono le persone giuste... quindi pubblicherò tutti i dati per i suoi clienti".

Infatti, parlando con un rappresentante di Binance il 22 luglio, Platon ha detto: "Un mio attuale interesse sono quegli hacker e insider nella vostra azienda. Mi piacerebbe vedere la loro reazione quando la notizia verrà pubblicata".

Il 5 agosto, le minacce di Platon sono diventate realtà, quando ha caricato un dump di documenti contenente un totale di 500 foto per il KYC di 166 persone su un sito di condivisione file aperto, con lo pseudonimo di "Guardian M."

Mercoledì mattina è stata inviata a un gruppo Telegram una seconda foto contenente centinaia di immagini di persone che tenevano in mano i propri documenti d'identità.

La spiegazione di Platone è semplice: credono di fare la cosa giusta.

"La gente KEEP a chiedere, 'Perché pubblichi quelle foto KYC?', 'Come le hai ottenute?' Il motivo per cui pubblico quelle KYC è semplice: per avvertire voi che state facendo trading su Binance", hanno scritto. "Se avessi bisogno di soldi, li venderei clandestinamente, non li pubblicherei."

Immagine tramite Twitter. Immagine dell'intestazione e immagini interne tramite CoinDesk.

Platon non ha risposto alle richieste di ulteriori commenti e non ha indicato se pubblicherà altro. Abbiamo contattato Binance per un commento. John Biggs ha fornito assistenza di marketing e commerciale a Viktor Shpak di VisibleMagic, lo sviluppatore che ha analizzato il codice Binance.