A plataforma de identidade blockchain Fractal ID publicou um relatório post-mortem descrevendo a violação de dados que a empresa sofreu em 14 de julho. A violação foi rastreada até um incidente de 2022, em que um funcionário reutilizou uma senha comprometida.
De acordo com a Fractal ID, a conta comprometida pertencia a um operador com a plataforma por três anos e tinha direitos de administrador. Isso permitiu que o invasor ignorasse os sistemas internos de privacidade de dados, embora o monitoramento do sistema tenha ajudado a bloquear o invasor em 29 minutos.
Causa raiz da violação
A falha da operadora em seguir as políticas de segurança operacional e o treinamento, juntamente com a reutilização de credenciais de invasões anteriores, facilitaram a violação.
Em 14 de julho de 2024, o provedor de verificação de identidade cripto detectou atividade incomum em um de seus back offices. Essa atividade foi rapidamente identificada como um ataque malicioso, levando à exfiltração de dados para aproximadamente 0,5% de sua base de usuários.
No entanto, a Fractal ID observou no relatório post-mortem que desabilitou todas as contas no sistema comprometido em resposta e limitou o acesso a funcionários seniores. A empresa também priorizou o aprimoramento de suas medidas de segurança para evitar incidentes futuros, como a implementação de limitação de solicitações, autorização mais refinada, monitoramento mais rigoroso de tentativas de autenticação com falha e controle de IP mais rigoroso.
Relacionado: Novos 'ataques de sobreposição' são uma ameaça crescente para usuários de criptomoedas — CEO da security
Além dos esforços internos, a Fractal ID contatou as autoridades de proteção de dados pertinentes e a divisão de polícia de crimes cibernéticos em Berlim. A empresa também se envolveu com serviços de segurança cibernética para monitorar qualquer distribuição potencial de dados roubados em sites conhecidos de violação de dados.
Impacto da violação de dados
De acordo com o relatório, os dados roubados, que afetaram cerca de 6.300 usuários, incluem vários níveis de informação, desde verificações de prova de personalidade até verificações KYC completas. Esses dados podem incluir nomes, endereços de e-mail, números de telefone, endereços de carteira, endereços físicos e imagens de documentos enviados. A Fractal ID também contatou os usuários afetados diretamente para informá-los sobre a violação.
Os cofundadores da Fractal ID Julian, Julio, Lluis e Anna expressaram pesar pelo incidente e enfatizaram seu comprometimento em proteger os dados dos usuários. Eles reiteraram a meta da empresa de avançar para um sistema de armazenamento de autocustódia para aumentar a segurança dos dados.
Essa falha de segurança serve como um lembrete gritante das dificuldades em proteger dados. A Autix10, uma provedora de ID criptográfica, revelou em 27 de junho que seus detalhes de login administrativo online foram expostos . No entanto, neste caso, o invasor aparentemente não obteve acesso a nenhum dado do cliente.
Revista: Crypto-Sec: Evolve Bank sofre violação de dados, entusiasta do Turbo Toad perde $ 3,6 mil