文 | 周文怡 編輯 | Tong 來源 | PANews
“@何一@李林 @徐明星 請問幣安、火幣、OK等各大交易所在保護隱私方面還有哪些工作可以加強。請交易所亡羊補牢、更上一層樓。”8月8日下午,在行業微信群中,眾人向三大所齊發問,這背後,是近期大家對個人資訊洩露的擔憂。
昨日(8月7日),在Telegram直播群“FIND YOUR BINANCE KYC”中疑似幣安使用者KYC資料洩露,頓時在圈內炸開了鍋,事後甚至有人冒名被洩露的使用者。幣安迴應稱正在核查,也坦然曾在曾有一週將部分KYC稽覈外包給第三方服務公司,目前,正在和第三方服務公司核對所有資訊。此外,已經確認洩漏的數百個配置檔案中至少有兩個屬於向交易所提供KYC資訊的真實客戶,其中一張圖片似乎已被篡改。
幣安還稱,這是駭客的勒索手段,近期幣安“收到一位身份不明人士的威脅,被要求以300個比特幣的籌碼換取他聲稱掌握的關於Binance的1萬個KYC資訊……這位身份不明人士因為沒有馬上拿到勒索款,隨即開始向公眾和媒體傳播相關資訊”。
而據Coindesk報道,在7日的洩露事件爆發之前,一位名為BnatovPlaton的駭客曾在與CoinDesk記者對話中聲稱,很可能是交易所內部人士幫助駭客公開了很多API資訊,允許駭客直接訪問客戶帳戶。
而早在幣安KYC風波前,不少圈內人已經感受到了資訊洩露的威脅。近期,有不少冒充幣安、火幣、OK,甚至是新浪財經、幣世界、金色財經等媒體的工作人員打騷擾電話,號稱要建微信群,會有老師指導炒幣等。
由於涉及面廣,因此並無法確認,使用者資訊是在哪個渠道遭到洩露。“最近冒充幣安、火幣、OK、位元大陸的都特別多,至於是誰家資訊洩露最好的鑑別方式是某個手機號只註冊某一個平臺,”一位從業者表示。
在今年年初就有媒體報道,名叫ExploitDOT 的駭客自稱拿到了Poloniex、Binance、Bittrex 和 Bitfinex 的 10萬多名註冊使用者的KYC資訊,包括使用者身份證、駕駛證等。當時,幣安也否認了洩露的指控,並稱資訊可能來自釣魚網站而非幣安官方。
雖然沒有像盜幣那樣造成直接的經濟損失,資訊洩露潛藏了極大的使用者和交易所安全風險。PANews梳理盤點了近年來交易所使用者資訊洩露(包括透過釣魚網站)的事件,為行業時刻敲響安全警鐘。
2019-07 YouHodler
YouHodler未受密碼保護的伺服器,暴露了大量使用者交易資料。在長達一個月的時間內,8600多萬條使用者資料記錄被洩露。洩露資料包括使用者姓名、出生日期、電子郵件地址、住址、電話號碼、護照號碼、信用卡號碼及到期日、CVV驗證碼、銀行詳細資訊和加密錢包地址等。
2019-07 QuickBit
瑞典加密貨幣交易所 QuickBit 官方通告,在新系統上線運營交付期間,我們發現大約 2% 的 QuickBit 客戶被公開了姓名、地址、電子郵件地址和截斷 (不完整) 的卡片資訊,該交易所的30 萬客戶記錄被洩露。洩露是由於一個外部承包商在嘗試安全升級時沒有進行資料保護。
2019-05 Binance (幣安)
世界最大的加密貨幣交易所幣安(Binance)發生駭客攻擊事件,丟失7000枚比特幣,價值約4100萬美元。幣安釋出宣告,“2019年5月8日凌晨1:15:24,我們發現了一個大規模的系統性攻擊,駭客能夠獲得大量使用者API金鑰,谷歌驗證2FA碼以及其他相關資訊;駭客團體使用了複合型的攻擊技術,包括網路釣魚,病毒等其他攻擊手段。駭客在這一次攻擊中提走了7000枚比特幣(其中約佔我們BTC總持股量的2%)。”
2019-02 Coinmama
數字貨幣交易所Coinmama遭駭客攻擊,45萬使用者資訊被公佈在暗網。駭客“Gnosticplayers”提交了一批新的1. 27 億份被盜使用者記錄,出售包括Coinmama在內的八家公司資料。 Coinmama稱,被盜資訊截止到 2017 年 8 月 5 日註冊的使用者。
2018-08 Atlas Quantum
數字貨幣平臺Altas Quantum遇到資訊保安漏洞,超過260000名使用者的資訊被駭客竊取。駭客竊取了260多萬筆數字貨幣平臺Altas Quantum使用者相關的資訊。暴露的資料包括客戶姓名、電子郵件地址、以及客戶帳戶餘額。
2018-06 bkex.com
bkex.com(幣客)被BCloud.one 旗下安全團隊SniperTeam爆出重大安全漏洞,超過十萬使用者的賬號密碼洩露。在駭客放出的一批賬號密碼中,經過MD5值反查明文,登入成功率超過80%。
2017 Bithumb交易所
2017年,也是因為駭客入侵,Bithumb交易所的3萬餘條個人資訊流出,最終遭到韓國“放送通訊委員會”行政罰款的處罰。
2012 Tradehill和Bitcoinica
由於日本伺服器供應商Linode密碼洩露事件:Linode 宣佈重置所有使用者密碼,但聲稱問題不大,沒有發現客戶資料被訪問的證據。然而真實情況顯然要比 Linode 所說的更嚴重。攻擊者宣稱獲得了 Linode 客戶的信用卡號碼和雜湊加密密碼。包括Tradehill和Bitcoinica在內的八家加密貨幣交易所受到影響,導致總計約46,653 比特幣遭竊。
