ماجرای حمله یک هکر به صرافی بایننس و سرقت اطلاعات کاربران

مصادف با 7 آگوست، بایننس (Binance) که بزرگترین صرافی رمز ارز جهان بر اساس حجم معاملات روزانه است، قربانی یک عملیات هک شد. فرد هکر ادعا می‌کند که بخش بزرگی از داده‌های مربوط به «شناسایی هویت مشتری یا KYC) Know Your Customer)» ، بالغ بر بیش از 10،000 داده و همچنین عکس خصوصی افراد، را بدست آورده است. بنا به گزارشات، این هکر مبلغی معادل 300 بیت کوین (به ارزش تقریبی 3.5 میلیون دلار) از این صرافی می‌خواهد، در غیر این صورت تمام داده‌ها را افشا خواهد کرد.

0 84

حمله هکر به صرافی بایننس

لازم به یادآوری است که این فرد هکر با شروع فعالیت خود چندین گروه تلگرامی، که تا به امروز بسته شده اند، را تشکیل داده که حاوی مطالب حساس زیادی می‌شوند. با این وجود به علت عدم وجود علامت دیجیتالی که صرافی بایننس معمولا برای اطلاعات داخلی خود از آن استفاده می‌کند ، صحت این داده‌ها مشخص نیست. تیم امنیتی بایننس در این باره می‌گوید:

در حال حاضر شواهدی مبنی بر اینکه این تصاویر KYC از صرافی بایننس به دست آمده باشند وجود ندارد، زیرا این تصاویر فاقد علامت دیجیتال ثبت شده توسط سیستم ما هستند.

این صرافی ادعا کرد که این تصاویر ممکن است متعلق به ماه فوریه باشد، یعنی دوره ای که بایننس درحال استفاده از سرویس‌های واسطه برای پردازش تاییدیه‌های KYC خود بود. همچنین طبق گزارشات، این صرافی از فرد هکر خواسته است تا اطلاعات بیشتری در مورد منبع داده‌های KYC در اختیار آنها قرار دهد، اما این فرد تنها خواستار 300 سکه بیت کوین است و از دادن هرگونه مدرک موثقی به این صرافی امتناع می‌کند.

برخی از افراد این سؤال را مطرح می‌کنند که آیا صرافی بایننس با سرزنش کردن سرویس‌های واسطه‌ای که مدیریت اطلاعات KYC را بر عهده داشتند سعی در تبرعه خویش دارد؟ سم تاون (Sam Town)، نویسنده و تحلیلگر مستقل رمز ارز، در مصاحبه ای با سایت Cointelegraph اینگونه بیان کرد:

تمام صرافی‌‌های بزرگ به جمع آوری و نگهداری داده‌های KYC می‌پردازند، ما شاید بیش از یک دهه پیشرفته‌تر از Satoshi باشیم ولی شبکه رمز ارزها هنوز هم در حال تکمیل است. راهکارهای تکمیلی مانند سرویس‌های واسطه پردازش داده‌های KYC شاید برای خودراه‌‌اندازی یک پلتفرم لازم باشد، اما دلیل نمی‌شود که صرافی بایننس از مسئولیت خود سرباز زند.

پاول بیشاف (Paul Bischoff)، سردبیر مجله Comparitech نیز نظری مشابه دارد، وی موافق است که حتی شرکت‌ها و دولت‌ها نیز بخاطر اشتباهات شرکا و پیمانکاران خود سرزنش می‌شوند، بنابراین در صورتی داده‌های هک شده معتبر باشند صرافی بایننس عهده دار مسئولیت بزرگی در این باره است.

بایننس در حال انجام اقدامات موثر برای پیشگیری از گسترش فاجعه است

در راستای اقدامات کنترل آسیب، یک تیم امنیتی صرافی بایننس اعلام کرد به هر شخصی که بتواند اطلاعاتی مربوط به شناسایی و دستگیری هکر یا هکرهای مجرم ارائه دهد پاداشی معادل 25 بیت کوین جایزه خواهد داد.

در نگاه اول این اقدامات مناسب و خوب بنظر می‌رسند، اما نمی‌توان فراموش کرد که بزرگترین صرافی رمز ارز در ماه می گذشته حدود 7000 سکه بیت کوین (به ارزش حدود 40 میلیون دلار) را بدلیل هک شدن از دست داده است. بسیاری از مردم در آن هنگام پیش بینی نمودند که این اتفاق تأثیر جبران ناپذیری بر اعتبار شرکت خواهد گذاشت، با این حال از آن زمان تا کنون عملکرد صرافی بایننس فقط با پیشرفت روبرو بوده است.

نمودار قیمت سکه بایننس از تاریخ 6 آگوست تا به امروز

ماجرای حمله یک هکر به صرافی بایننس و سرقت اطلاعات کاربران

در پی آخرین نقص داده‌ها، قیمت سکه بایننس (BNB)، رمز ارز بومی صرافی بایننس، بیش از 12 درصد افزایش یافته که نشان از بی توجهی جامعه جهانی رمز ارز به این حادثه امنیتی است. تاون در این زمینه اظهار داشت:

اطلاعات شناسایی و داده‌های مکانی بیش از 500،000 کاربر حقیقی فیسبوک در ماه آوریل سال جاری به سرقت رفته و افشا شد. به گزارش شرکت کمبریج آنالیتیکا (Cambridge Analytica) اطلاعات شخصی 87 میلیون کاربر فیسبوک در اوایل سال 2018 مورد سوءاستفاده قرار گرفت. آیا این امر باعث شد کاربران از فیسبوک اسنفاده نکنند؟ صرافی کره ای Bithumb در ماه ژوئن گذشته 30 میلیون دلار را در جریان یک هک از دست داد، با این وجود عملکرد روزانه ی 700 میلیون دلاری دارد و در میان 30 صرافی برتر دنیا قرار دارد. هیچ کس به اندازه کافی به هک شدن حفظ حریم خصوصی داده‌های KYC صرافی بایننس اهمیت نمی‌دهد.

به محض انتشار این خبر، مدیر عامل شرکت بایننس، چانگ‌پنگ ژائو (با نام مستعار CZ) به فالورهای توئیتری خود گفت که آنها “نباید به ترس، تردید و گمانی که توسط سرقت داده‌های KYC ایجاده شده است گرفتار شوند.” به نظر نمی‌رسد که این سخنان به این مطلب اشاره کرده باشد که اگر داده‌های KYC کاربران در فضای مجازی منتشر شود، حریم خصوصی و امنیت دیجیتالی بسیاری از مردم را در معرض خطر قرار خواهد داد.

اگر داده‌های سرقت شده معتبر باشند، بیش از 10 هزار عکس به سرقت رفته برای مجرمان از ارزش بالایی برخوردار است. بیشاف خاطرنشان کرد که این تصاویر و داده‌ها برای عبور از اقدامات امنیتی احراز هویت دو عاملی یا حتی تسهیل انواع کلاهبرداری بانکی مورد استفاده قرار گیرند. در مقاله ای که بتازگی منتشر شده، بیشاف مطلب مفصلی درباره استفاده مکرر از تصاویر و اسکن‌های گذرنامه به طور توسط اشخاص واسطه برای انجام فعالیت‌های غیرقانونی خود نوشته است. از این داده‌های سرقت رفته KYC نه تنها برای ایجاد شناسه‌ها و گذرنامه‌های جعلی استفاده می‌شود، بلکه می‌توان آنها را با قیمتی بالغ بر 1500 دلار به فروش رساند.

در نهایت و بر اساس گزارشات تأیید نشده گوناگون، به نظر نمی‌رسد که اقدامات هکر (یا هکرها) برای گسترش هراس و بی اعتمادی در قبال صرافی بایننس باشد، بلکه تنها انگیزه وی از این کار اخذ مبلغ اعلام شده است. سایت Cointelegraph برای تهیه گزارش با صرافی بایننس مکاتبه داشته است ولی نماینده آنها گفته است که اطلاعات بیشتری در دسترس نیست.

نیمه دیگر داستان

تا به اینجا تمام اطلاعاتی که صرافی بایننس و منابع معتبر و مختلف رسانه‌ای ارائه داده‌اند را مورد بحث قرار دادیم. با این حال اگر بخواهیم به نظریه خاصی معتقد باشیم، یک هکر به نام بناتوف پلاتون (Bnatov Platon) ممکن است عامل اصلی این حوادث باشد. گفته می‌شود وی کسی است که به صرافی بایننس در جریان هک شدن ماه می پیشنهاد کمک داد تا افرادی که 7000 بیت کوین را از این صرافی به سرقت برده بودند ردیابی کرده و بیش از 60،000 پرونده KYC مرتبط با پایگاه داده‌های مشتری را بازیابی کند.

پلاتون مدعی شد هکرها توانسته اند از طریق نصب یک “در پشتی” (راهی که بتوان از آن بدونِ اجازه به قسمت/قسمت‌های مشخصی از یک سامانه دیگر مانند رایانه، فایر وال، یا افزاره‌های دیگر دست پیدا کرد) به ماژول معاملاتی یکی از کارکنان شرکت بایننس دسترسی پیدا کرده و پس از سرقت رمز ارزهای ذکر شده از این راه بگریزند.

این جایی است که داستان جالب می‌شود. پلاتون، که خود را یک هکر سفید می‌نامد، به صرافی بایننس گفته است که در ازای پرداخت 300 سکه بیت کوین اطلاعات افراد مزاحم از قبیل نام، شماره تلفن، عکس، داد‌ه‌های سرور و آدرس آنها را در اختیارشان قرار می‌دهد. پس از آنکه نمایندگان شرکت به درخواست وی پاسخی ندادند، وی جزئیات داده‌های KYC بیش از 600 مشتری صرافی بایننس را از طریق گروه‌های مختلف تلگرام منتشر کرد.

طبق گزارش‌ها، پلاتون در این زمینه گفته است:

هنگامی که به پول احتیاج دارم می‌توانم فقط حساب یک صرافی را هک کنم. من با هک کردن کیف پول هکر می‌توانستم بیش از 600 یا 700 سکه بدست آوردم. تصمیم من برای مذاکره با این صرافی اشتباه بود، زیرا آنها افراد مناسبی نیستند، در نتیجه من تمام این داده‌ها را منتشر می‌کنم.

در پایان پلاتون ادعا نمود که توانسته است بخش عمده ای از بیت کوین‌های پول‌شویی شده را که در ماه می از این صرافی دزدیده شده بود ردیابی کند. به گفته او حداقل 2000 عدد از این سکه‌ها از طریق صرافی‌های مختلف از قبیل کو‌کوین (Kucoin)، یوبیت (YoBit)، بیت‌مکس (Bitmex) و هوبای (Huobi) به آدرس‌های کیف پول‌های مختلفی ارسال شده است. پلاتون مدعی شده است داده‌هایی که در اختیار دارد را بین شبکه‌ها و پلتفرم‌های مختلفی پخش خواهد نمود.

در پاسخ به این موضوع، ما با بنجامین پیروس (Benjamin Pirus)، مجری پادکست “رمز ارزها: اسرار تجارت” گفتگو نمودیم، به اعتقاد وی داستان پلاتون متقاعد کننده تر است و ارزش تحقیق بیشتری دارد. وی در پاسخ به این سؤال که بهترین راه حل CZ برای حل این وضعیت چیست، گفت:

به نظر من این ماجرا کاملا به نحوه برخورد بایننس با این موضوع در روزهای آتی وابسته است. طی دو سال گذشته، خصوصاً با توجه به رشد سریع این صرافی، CZ اقدامات مناسبی را در قبال رسیدگی به مشکلات انجام داده است. امیدوارم که مسئولان بتوانند مطابق با قوانین و مقررات برای حل مسئله با صرافی بایننس همکاری نمایند.

منبع

شاید از این مطالب هم خوشتان بیاید.

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.