Fractal ID, um provedor de serviços de verificação de identidade digital, divulgou uma violação de dados que afetou aproximadamente 0,5% de sua base de usuários, de acordo com o site da empresa e o Perfil no X, isso pode significar mais de 50.000 usuários.
A API comprometida inclui informações confidenciais do usuário, como nomes, endereços de e-mail, endereços de carteira, números de telefone, endereços físicos e imagens de documentos KYC enviados.
O Fractal é usado por projetos web3, incluindo Polygon ID, Ripple, XRP Ledger, Avalanche, Gnosis, Near, Aurora, Acala, Polymath, BNB Chain, Lukso, Aleph Zero e Arbitrum Foundation.
A empresa relatou que o incidente ocorreu em 14 de julho de 2024, quando um terceiro não autorizado acessou a conta de um operador e executou um script de API para extrair informações pessoais dos usuários. A violação começou às 05:14 AM UTC e durou pouco mais de duas horas.
A empresa declarou que tomou medidas imediatas para mitigar o impacto da violação e implementou medidas de segurança adicionais. A Fractal ID também relatou o incidente às autoridades de proteção de dados relevantes e à divisão de polícia de crimes cibernéticos.
Em resposta à violação, a Fractal ID enfatizou que o incidente estava contido em seu ambiente e não afetou os sistemas ou produtos de seus clientes que utilizam seus serviços. No entanto, a empresa aconselhou os usuários afetados a serem cautelosos com comunicações não solicitadas solicitando informações pessoais, pois os dados violados podem ser compartilhados com terceiros ou usados para fins comerciais.
A abordagem da Fractal ID para lidar com a violação envolveu primeiro entrar em contato com os usuários afetados, seguido pelos clientes impactados, antes de fazer um anúncio público.
O incidente atraiu críticas de alguns membros da comunidade cripto. Investigador de blockchain ZachXBT questionando a capacidade da empresa de proteger os dados dos usuários e sugeriu que as equipes que usam o produto da Fractal ID deveriam considerar alternativas.
Impacto potencial da violação
O site da empresa afirma que seu produto remove os “riscos de plataformas centralizadas”, o que levanta questões sobre a natureza da descentralização da Fractal. Fractal declara em sua missão está enraizada na “verdadeira propriedade dos dados”,
“Acreditamos que a Identidade Descentralizada é a chave para revolucionar a forma como os indivíduos interagem com a web, permitindo a verdadeira propriedade dos dados e o poder de compartilhá-los seletivamente.”
No entanto, uma revisão da documentação do desenvolvedor da empresa parece mostrar que todas as informações do usuário são acessíveis por meio de um chamada de API única. Depois que um usuário autoriza um aplicativo a acessar seus dados, não parece que essa permissão seja necessária novamente para solicitações de dados subsequentes.
Assim, é difícil ver como o usuário tem soberania e propriedade dos dados. Um endpoint centralizado era acessível a um invasor, levando à perda dos dados mais sensíveis do usuário sem nenhuma mensagem assinada pelas chaves privadas dos usuários.
Milhares de informações de identidade de usuários, como escaneamentos de passaporte e carteira de motorista, foram roubadas na violação sem serem “seletivamente compartilhadas” pelos proprietários. O escopo do dano que essa violação pode causar é extenso.
Os dados roubados mais confidenciais podem ser usados para criar contas fraudulentas, iniciar ataques de phishing, tentar violar contas existentes ou até mesmo roubo de identidade mais amplo.
Com acesso a nomes, endereços de e-mail e endereços de carteira, criminosos podem criar esquemas convincentes de representação ou lançar ataques sofisticados de engenharia social.
Endereços físicos podem ser usados para perseguição, assédio ou pior, com relatos de invasões domiciliares visando profissionais de cripto em ascensão. Endereços de carteira comprometidos podem ser usados para rastrear históricos de transações ou atingir contas de alto valor.
Embora o aspecto “descentralizado” dos dados do usuário da Fractal permaneça em questão, um elemento web3 claro da empresa, o preço de seu Token (FCL), foi marginalmente afetado, com queda de 2,9%. Com menos de US$ 3.000 em volume de negociação de 24 horas e uma capitalização de mercado de US$ 144.037, o token caiu 43% no acumulado do ano.
Os usuários afetados por esta violação devem permanecer vigilantes, monitorar suas contas de perto e considerar atualizar suas medidas de segurança em vários serviços online para mitigar possíveis riscos.
