- Регистрация
- 17 Окт 2015
- Сообщения
- 11.621
- Репутация
- 4.232
- Реакции
- 15.385
Неудачный обход санкций: иранская криптобиржа Bit24.cash сливает паспорта и банковские карты пользователей
8 января, 2024Сервис случайно раскрыл конфиденциальные данные около 230 000 граждан Ирана.
Из-за ограниченного доступа к зарубежным финансовым рынкам Иран активно начал использовать криптовалюту. В прошлом году иранские криптовалютные биржи провели транзакции на общую сумму почти $3 млрд. Почти весь объем входящей криптовалюты в Иране соответствует требованиям Know Your Customer (Проверка KYC (Know Your Customer) - это процесс, который финансовые учреждения, компании и организации осуществляют для идентификации и верификации своих клиентов. Целью этой процедуры является предотвращение финансовых преступлений, таких как отмывание денег, финансирование терроризма и мошенничество.
В рамках проверки KYC клиент обязан предоставить определенные документы и информацию, которые позволят установить его личность и подтвердить его законность и надежность как потенциального клиента. Это могут быть паспортные данные, адрес проживания, реквизиты банковских счетов и другая информация, зависящая от требований конкретной компании или законодательства.
Bit24.cash, иранская внебиржевая криптовалютная биржа, поддерживающая более 300 криптовалют, не является исключением. В ходе процесса KYC, целью которого является пресечение преступной деятельности, пользователи должны подтвердить свою личность, загрузив официальные документы. Учитывая конфиденциальный характер этих документов, передаваемых на биржи, пользователи по праву ожидают, что организации будут надежно их защищать.
Однако исследователи Cybernews обнаружили неправильно настроенный экземпляр MinIO (высокопроизводительная система хранения объектов), случайно предоставляющий доступ к корзинам S3 (контейнерам облачного хранилища), содержащим данные KYC платформы. Неправильная конфигурация раскрыла данные около 230 000 иранских граждан, предоставив их письменное согласие с правилами, а также паспорта, удостоверения личности и кредитные карты.
Фотография пользователя с заявлением о согласии, удостоверением личности и банковской картой
Bit24.cash не предоставила комментариев по ситуации, однако экземпляр на данный момент больше недоступен. Исследователи Cybernews подчеркнули критический характер скомпрометированных данных проверки KYC на платформах обмена криптовалютами. Специалисты подчеркнули, что злоумышленники могут использовать раскрытые данные для кражи личных данных, мошеннических транзакций и фишинговых атак.
Кроме того, имея доступ к таким всеобъемлющим личным и финансовым данным, киберпреступники могут выдавать себя за отдельных лиц, получать несанкционированный доступ к учетным записям, выполнять мошеннические транзакции и потенциально причинять существенный финансовый и личный вред пострадавшим пользователям.