Вымогательство пошло не так: переговоры Binance с «утечкой информации о KYC»

Вывод

• Перед тем, как опубликовать в среду в сети данные о реальных клиентах Binance, хакер, действующий под псевдонимом «Бнатов Платон» провел месячную беседу с журналистами CoinDesk .
• В ходе переговоров Платон рассказал, как он якобы взломал несколько человек, стоящих за предыдущим взломом, в результате которого с крупнейшей в мире биржи было украдено 7000 Bitcoin .
• Платон утверждал, что его цели были альтруистическими, и что он просто хотел привлечь хакеров к ответственности. Однако, похоже, он также фактически просил денег в обмен на обещания не раскрывать данные клиентов Binance.
• Platon и Binance провели многочисленные переговоры и, как сообщается, заключили сделку, которая впоследствии была отменена. CoinDesk получил полные стенограммы этих разговоров.

В ходе, судя по всему, сложной игры «хакеры взламывают хакеров», человек, действующий под псевдонимом «Бнатов Платон», предоставил CoinDesk обширную информацию о своих попытках получить миллионы долларов в обмен на отказ раскрыть информацию о клиентах ONE из крупнейших в мире Криптовалюта бирж Binance.

Информация о взломе, собранная за месяц взаимодействия с хакером, сегодня стала достоянием общественности, когда Плейтон начал публиковать то, что, по его словам, было изображениями и информацией о реальных клиентах Binance, сначала на открытом сайте, а затем в Telegram.

Мысль о том, что информация о клиентах может быть небезопасной на крупнейшей в мире бирже, была достаточной, чтобы немедленно привлечь внимание отрасли, и крупные новостные сайты и влиятельные лица Twitter быстро распространили эту новость.

Однако вся история была и остается более сложной, чем казалось на первый взгляд.

Во-первых, у нее глубокие корни, уходящие корнями в майский инцидент, когда внешняя группа взломала учетные записи пользователей Binance и украла 7000 Bitcoin. В то время Binance, как всегда, публично заявила о своих проблемах, описав их как часть «масштабного нарушения безопасности», в ходе которого «хакеры смогли получить большое количество ключей API пользователей, кодов 2FA и потенциально другой информации».

Однако не было упомянуто, что могла произойти утечка идентификационной информации пользователя.

По словам Плейтона, именно во время этого события была получена информация о клиентах Binance, хотя, по его словам, он не был организатором взлома, а взломал «инсайдера» биржи, участвовавшего в ограблении.

В свою очередь, Binance утверждает, что данные клиентов были получены от неназванной сторонней компании, с которой она заключила контракт на проведение процедуры «знай своего клиента» (KYC) с февраля 2018 года.

Кроме того, CoinDesk подтвердил, что по крайней мере два из сотен утекших профилей принадлежат реальным клиентам, которые предоставили бирже идентифицирующую информацию. ONE из проанализированных нами изображений, похоже, было подделано, но человек, чья личность появилась на снимке, подтвердил, что она создала учетную запись Binance примерно во время утечек.

В разговорах с CoinDesk Платон утверждал, что они «белые хакеры», и в нескольких комментариях предположил, что они просили у Binance вознаграждение за обнаружение ошибок за раскрытие информации. Однако переговоры сорвались, и Платон и представители Binance сообщили, что он запросил 300 Bitcoin , чтобы еще больше расширить имеющиеся у него данные.

В своем заявлении Binance отреагировала на «страх, неуверенность и сомнения», вызванные этой новостью:

«Мы хотели бы сообщить вам, что неопознанное лицо угрожало и преследовало нас, требуя 300 BTC в обмен на удержание 10 000 фотографий, которые имеют сходство с данными Binance KYC. Мы все еще расследуем это дело на предмет законности и релевантности».

Мы связались с Binance для получения дополнительных комментариев.

Платон утверждает, что в его коллекции имеется 60 000 единиц информации KYC.

Ниже приведено то, что нам известно о переговорах и их последствиях.

Перемещение денег

Взаимодействие CoinDesk с Platon впервые началось в июле, когда мы начали сообщать о перемещении биткоинов, украденных в результате майского взлома Binance.

Binance тогда отреагировала на взлом, заявив, что злоумышленники завладели API клиентов, двухфакторными кодами и «потенциально другой информацией».

Взгляд Платона на инцидент был иным. Они утверждают, что инсайдер внутри организации помог сделать ряд API публичными, что позволило хакерам напрямую получать доступ к клиентским счетам. Хакеры хранили списки ключей API клиентов — кодов, используемых для удаленного доступа к их счетам — в текстовых файлах, которые, по утверждению Платона, он мог получить. Это позволило хакерам получить удаленный доступ к средствам.

Файлы также «содержат чрезвычайно серьезную информацию», включая адреса электронной почты клиентов и пароли учетных записей, сказал Платон. Клиенты, находящиеся в зоне риска, открыли счета Binance в период с 2018 по 2019 год.

Используя эту личную информацию, хакеры написали вредоносный скрипт, который позволял им мгновенно выводить .002 BTC (примерно $23) за раз. Код размещал заказ на покупку неизвестного токена под названием BlockMason Credit Protocol и конвертировал его в Bitcoin. Код, который мы изучили, также мог выполнять ряд функций с использованием вызовов API, которые больше не являются открытыми или публичными. Однако когда мы тестировали ONE вызов API, простой Request времени сервера, он все еще был открыт. Неясно, были ли удалены или просто скрыты закрытые конечные точки API.

Платон утверждает, что украденные монеты хранились в кошельке, размещенном поставщиком программного обеспечения для Bitcoin кошельков Blockchain, Maker недавно запущенной биржи PIT .

Пройдя по следу, ведущему от этого кошелька, Платон обнаружил, что хакеры отмыли 2000 биткоинов через Bitmex, Yobit, KuCoin и Huobi и планировали конвертировать до 1 миллиона долларов в Bitcoin в день.

Как это работало

Из 60 000 аккаунтов клиентов, которые, по утверждению Платона, были взломаны, 636 файлов он поделился с CoinDesk. Он надеялся, что внимание СМИ побудит Binance объявить истинные масштабы взлома и привлечь злоумышленников к ответственности.

Со своей стороны, Binance заявила, что украденные Bitcoin были получены только с их корпоративных счетов и не затронули потребителей. В то время биржа также приостановила депозиты и выводы для защиты пользователей. Однако объем утечки информации о пользователях держался в Secret.

Помимо изображений паспортов, водительских прав и реальных фотографий пользователей, держащих в руках свои удостоверения личности, Платон также предоставил несколько примеров метаданных, связанных с изображениями.

Например, этот код предполагает, что пользователь прошел процедуру KYC 20.03.2018:

"ID": 1573211,"userId": "25276308","front": "/IDS_IMG20180320/25276308_0_9416819.jpg","back": "/IDS_IMG20180320/25276308_1_7376587.jpg","hand": "/IDS_IMG20180320/25276308_2_4413070.jpg","auditor": "chenxiaozi","message": "","status": 1,"createTime": "2018-03-20 08:12:33","updateTime": "2018-03-21 01:48:33","number": "s532557730580","firstName": "m[УДАЛЕНО]","lastName": "[УДАЛЕНО]","type": 2,"sex": 1,"country": "Соединенные Штаты Америки (США)（США）","email": "[УДАЛЕНО]@outlook.com","version": 1

KYC проходил в Китае, как следует из имени аудитора, а также из добавления «美国» в конце кода страны. Неясно, что представляют собой другие поля.

Кроме того, Платон отправил CoinDesk код, который он описал как доступ к бэкдору, размещенному на серверах Binance «инсайдером». Анализ кода показывает, что Платон прав.

«Вероятнее всего, это будет атака на API-ключ», — сказал Виктор Шпак, технический директор компании по разработке блокчейнов.ВидимаяМагия«Они откуда-то собрали ключи API».

API-ключи используются для аутентификации сервисов на биржах и других приложениях и могут позволить хакеру сделать что угодно: от покупки Криптовалюта от имени жертвы до фактического перевода Криптовалюта на внешний кошелек.

Шпак заявил, что код, в частности, указывает на наличие бэкдора в Binance, хотя CoinDesk не смог независимо проверить доступ через эту функцию и связанный с ней ключ API.

public static String getApiKey(String uri, String userId) {  String time = "";  time = get("https://www.binance.com/api/v1/time");  Map<String, String> param = new HashMap<String, String>();  param.put("userId", userId);  param.put("desc", "api" + JSON.parseObject(time).getString("serverTime"));  return post(uri + "/exchange/mgmt/account/getApiKey", param);  }

«Скорее всего, инсайдер создал обработчик, чтобы получить доступ к пользовательским API-ключам, затем он собрал эти API-ключи, получил доступ к пользовательским данным и создал отличный инструментарий, чтобы справиться с этим», — сказал он.

Однако представитель Binance, столкнувшись с этой информацией в то время, заявил: «По последним данным от команды, в настоящее время нет никаких доказательств того, что это изображения KYC от Binance, и они не имеют водяных знаков в соответствии с нашей системной процедурой».

Мотивация Платона

Во время общения с CoinDesk Платон также связался с директором по развитию Binance (CGO) Тедом Лином в рамках многосторонних усилий по привлечению хакеров к ответственности (по крайней мере, так он утверждает).

«Я лично хотел сделать Binance первой в мире биржей, которая ловит хакеров. Это будет крайне позитивно для репутации Binance», — сказал Плантон, добавив:

«Я сообщил [Лину], что у меня есть инсайдерская информация, такая как данные инсайдера, данные о его общении с посторонними и даже фотография инсайдера. Я сообщил ему, что у меня есть данные о хакерах — информация о серверах, их личности, номера телефонов и ETC.».

В сообщении Лин, которым Плейтон поделился с CoinDesk, CGO была готова заплатить за информацию, которая могла бы привести к аресту хакеров, инсайдеров и возврату средств.

Однако в этом же сообщении Линь резко отчитал Плэйтона за проводимую им «кампанию FUD».

«Как я уже сказал, мы T реагируем на вымогательства», — сказал Линь. В более ранних беседах с CoinDesk Платон утверждал, что он независимо богат, а оператор Криптo , по его словам, составляет треть размера Binance.

Он также сказал, что его T интересует финансовое вознаграждение. «Когда мне нужны деньги, я могу просто взломать баланс ONE биржевого счета (хакера). Я мог бы легко получить более 600 или 700 монет, взломав кошелек хакера», — сказал Платон.

«Но я T притронулся ни к одному центу, наблюдая, как все больше и больше монет отмываются и перемещаются, чтобы скрыть следы», — сказал он, заявив, что T хотел давать хакерам знать, что он идет по их следу.

Разговор прерывается

Несмотря на якобы альтруистические цели Платона, CoinDesk позже узнал от Платона и должностных лиц Binance, что предполагаемый «белый хакер» запросил 300 Bitcoin(около 3 миллионов долларов по обменному курсу на июль), выплаченных 50 частями за предоставленную информацию.

Однако в какой-то момент переговоры прервались. 22 июля, всего через пять дней после того, как они впервые связались с CoinDesk, Платон заявил, что прекратил переговоры с Binance.

«За месяц переговоров они T заплатили ни копейки», — сказал Плейтон. «Моя сделка с Binance разорвана».

Именно тогда общение Платона с Binance переросло в переговоры о заложниках, и Платон пригрозил слить всю полученную им информацию о клиентах.

Плейтон предоставил следующий предполагаемый разговор с Тедом Лином, в ходе которого переговоры прервались:

Тед Лин, [20.07.19 19:54]

я вижу, ты уже передал имеющуюся у тебя информацию СМИ

Тед Лин, [20.07.19 19:59]



Учитывая, что ущерб от вашей кампании FUD уже нанесен, какую бы награду вы ни просили за информацию, она будет значительно меньше. Как я уже сказал, мы T реагируем на вымогательства. Но мы готовы получить больше информации о преступниках, если у вас есть полезная информация, которая позволит нам посадить плохих парней за решетку и вернуть средства.




Платон, [21.07.19 16:53]



как я уже сказал, мне T нужны твои деньги




Платон, [21.07.19 16:53]

я уже не в деле

Платон, [21.07.19 16:54]

Я тоже не ожидаю твоей реакции.

Платон, [21.07.19 16:59]

но мне нравится видеть реакцию инсайдеров и хакеров, когда публикуются новости. еще раз, мне не интересна ваша реакция.

Тед Лин, [21.07.19 19:04]

Я думал, ты хочешь увидеть, как этих хакеров поймают?

Платон, [21.07.19 19:11]

я хотел. но не сейчас.

Платон, [21.07.19 19:12]



Я лучше отойду и KEEP наблюдать.




Тед Лин, [21.07.19 19:19]

Мы по-прежнему заинтересованы в оплате информации, которая может привести к аресту хакеров, инсайдеров, возврату средств.

Тед Лин, [21.07.19 19:19]

Дайте нам знать, если у вас есть дополнительная информация, которая поможет этого достичь.

Тед Лин, [21.07.19 19:20]

Мы проводили проверку типа информации, которой вы располагаете, прежде чем вы решили не говорить.

Тед Лин, [21.07.19 19:21]

Дайте мне знать, если вы передумаете и захотите продолжить.

Тед Лин, [21.07.19 19:21]



Спасибо за вашу помощь.



Платон, [21.07.19 19:28]

Тогда заплати мне.

«Мое решение о переговорах с Binance было неправильным», — сказал он. «Это не те люди... поэтому я просто опубликую все данные для ее клиентов».

Действительно, в разговоре с представителем Binance 22 июля Платон сказал: «В настоящее время меня интересуют эти хакеры и инсайдеры в вашей компании. Хотелось бы увидеть их реакцию, когда новость будет опубликована».

5 августа угрозы Платона стали реальностью, поскольку он загрузил на открытый файлообменник под псевдонимом «Guardian M» пакет документов, содержащий в общей сложности 500 фотографий для идентификации личности 166 человек.

За этим в среду утром последовала вторая публикация в группе Telegram, содержащая сотни изображений людей, держащих в руках свои удостоверения личности.

Объяснение Плейтона простое: они думают, что поступают правильно.

«Люди KEEP спрашивать: «Зачем вы публикуете эти фотографии KYC?», «Откуда вы их получили?» Причина, по которой я публикую эти фотографии KYC, проста: предупредить вас, люди, которые торгуют на Binance», — написали они. «Если бы мне нужны были деньги, я бы продал их подпольно, а не публиковал».

Изображение взято из Twitter. Изображение заголовка и внутренние изображения взяты из CoinDesk.

Platon не ответил на запросы о дальнейших комментариях и не указал, будут ли они публиковать больше. Мы связались с Binance для получения комментария. Джон Биггс оказывал маркетинговую и деловую помощь Виктору Шпаку из VisibleMagic, разработчику, который анализировал код Binance.