La plataforma de identidad blockchain Fractal ID sufrió una filtración de datos el 14 de julio, según un aviso publicado en el sitio web de Fractal el 17 de julio. Entre los socios de la plataforma se incluyen el sistema de pagos Gnosis Pay, la aplicación de finanzas descentralizadas Acala, el proyecto de prueba de identidad Polygon ID, la plataforma de redes sociales Lukso y otras aplicaciones Web3.
En su declaración, Fractal no identificó qué socios se vieron afectados por la filtración, si es que alguno lo fue. Algunos usuarios en X reportaron haber recibido correos electrónicos del equipo de Gnosis Pay alertando sobre la filtración y advirtiéndoles que “tengan cuidado con las comunicaciones no solicitadas”.
Fractal declaró que la filtración solo afectó “aproximadamente al 0.5% de la base de usuarios de Fractal ID”.
Según el aviso, “Un tercero ajeno a Fractal ID obtuvo acceso no autorizado a la cuenta de un operador y ejecutó un script de API que comenzó a las 05:14 AM UTC para acceder a los datos personales de los usuarios”. Una vez que el equipo notó la filtración, “tomaron medidas para desconectar al atacante del sistema a las 07:29 AM UTC”. Así, el ataque aparentemente se llevó a cabo durante un período de dos horas y 14 minutos.
El aviso indica que solo un número limitado de cuentas tenía datos almacenados en la cuenta de este operador en particular, que representa solo el 0.5% de la base total de usuarios de Fractal. Para esos usuarios específicos, los datos que podrían haber sido filtrados “pueden incluir nombres, direcciones de correo electrónico, direcciones de billeteras, números de teléfono, direcciones físicas, imágenes y fotos de documentos cargados”.
Fractal afirmó que la filtración no afectó los sistemas o productos de los clientes, ya que estaba “contenida dentro del entorno de [Fractal]”. Aun así, los usuarios afectados deben ser “cautelosos con las comunicaciones no solicitadas que soliciten información personal adicional,” según el aviso.
El desarrollador de Web3 Paulo Fonseca publicó una imagen de un correo electrónico que supuestamente fue enviado a algunos usuarios de GnosisPay. “El lunes 15 de julio de 2024 a las 7:30 PM CET, nuestro proveedor de servicios Know Your Customer (KYC) Fractal ID hizo saber al equipo de Gnosis Pay que había sufrido una filtración de datos el domingo 14 de julio de 2024,” decía el correo electrónico.
La información del destinatario del correo electrónico “no formaba parte de los datos que fueron accedidos,” según el aviso. Aun así, advirtió al usuario que “sea cauteloso con las comunicaciones no solicitadas que soliciten información personal adicional”.
Cointelegraph se puso en contacto con Gnosis para obtener comentarios, pero no recibió una respuesta al momento de la publicación de esta historia.
La mayoría de las jurisdicciones requieren que los exchanges de criptomonedas o proveedores de pagos registren y almacenen la información de conozca a su cliente (KYC) de cada cliente que atienden. Esta información puede incluir imágenes de los documentos de identidad de los usuarios, nombres, direcciones físicas, correos electrónicos y otros datos sensibles. Los partidarios de los requisitos KYC afirman que esta práctica es necesaria para prevenir el lavado de dinero, mientras que los críticos sostienen que representa un riesgo de filtración de datos personales.
El 27 de junio, el proveedor de ID cripto Autix10 anunció que sus credenciales de administración habían sido filtradas en línea. Pero en este caso, el atacante aparentemente no obtuvo datos reales de clientes. El 3 de julio, la aplicación de autenticación de dos factores Authy también sufrió una filtración de datos, resultando en la filtración de los números de teléfono de los usuarios.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.