El 27 de junio, el exchange de criptomonedas Coinbase negó tener conocimiento de cualquier violación de los datos de sus clientes asociada con la plataforma de cumplimiento Au10tix. La declaración sigue a un informe del 26 de junio que afirmaba que las credenciales de un empleado de Au10tix habían sido filtradas en Telegram. El sitio web de Au10tix muestra el logo de Coinbase, lo que aparentemente implica que Coinbase es uno de sus clientes.
“No estamos al tanto de ninguna exposición de datos de Coinbase en este momento y continuaremos monitoreando la situación”, dijo un representante de Coinbase a Cointelegraph.
Au10tix es una plataforma de verificación de identidad que afirma ser utilizada por Fiverr, TikTok, Uber, X, Coinbase y muchas otras plataformas. Almacena las identificaciones fotográficas de los usuarios y otra información identificativa en nombre de las plataformas a las que sirve.
Un representante de Au10tix aclaró que se filtró una credencial de un empleado, lo que significaba que "los datos de PII [información de identificación personal] eran potencialmente accesibles". Sin embargo, "según nuestros hallazgos actuales, no vemos evidencia de que los datos hayan sido explotados de ninguna manera".
El 26 de junio, 404 Media informó que la plataforma de cumplimiento “exponía un conjunto de credenciales administrativas en línea durante más de un año, lo que potencialmente permitía a los hackers acceder a esos datos sensibles”. Según los informes, las credenciales fueron descubiertas por la empresa de ciberseguridad SpiderSilk, que las encontró en Telegram. Las credenciales pueden haber sido obtenidas por un atacante que infectó la computadora de un empleado de Au10tix con malware.
Un investigador de seguridad de SpiderSilk, según se informa, pudo acceder a los datos de los clientes de al menos uno de los clientes de la plataforma utilizando las credenciales, lo que demuestra que los datos eran accesibles para cualquiera que poseyera las credenciales filtradas. Estos datos incluían “el nombre de la persona, la fecha de nacimiento, la nacionalidad, el número de identificación y el tipo de documento subido, como una licencia de conducir”. Un enlace dentro de los datos también conducía a imágenes reales de “licencias de conducir americanas”, según el informe.
Un representante de Au10tix dijo a Cointelegraph que las credenciales ahora han sido “completamente eliminadas” y que los datos de los clientes ya no se pueden acceder a través de ellas. Además, afirmaron que "después de una revisión de seguridad detallada, concluimos que no hubo actividad maliciosa ni fuga de datos de nuestro sistema".
La plataforma de cumplimiento también ha tomado medidas adicionales para asegurarse de que un incidente como este no vuelva a ocurrir. El representante declaró:
“Desconectamos el sistema operativo relevante y lo reemplazamos con sistemas más seguros. Estamos revisando nuestros procedimientos de seguridad y fortaleciendo los controles de seguridad en todos los activos de TI. Nombramos un equipo dedicado para monitorear continuamente cualquier actividad futura.”
Au10tix afirmó que “cumple y seguirá cumpliendo con los más altos estándares de la industria, las demandas del mercado y las mejores prácticas recientes.”
Coinbase no confirmó ni negó si utiliza Au10tix para almacenar datos de clientes. Sin embargo, declaró que no tiene conocimiento de ninguna violación de los datos de sus clientes por el incidente reportado.
La mayoría de las jurisdicciones requieren que los exchanges centralizados de criptomonedas realicen la verificación Conoce a Tu Cliente, que incluye pedir a los clientes imágenes de sus licencias de conducir o pasaportes. Los defensores argumentan que esta práctica es necesaria para evitar que los exchanges se utilicen para el lavado de dinero, pero los críticos argumentan que viola la privacidad de los usuarios.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.