Blockchain kimlik platformu Fractal ID, 14 Temmuz’da bir veri ihlali yaşadı ve bu durum 17 Temmuz’da şirketin web sitesinde ve eski adıyla Twitter olan X’te kamuoyuna duyuruldu.
Fractal ID veri ihlali, özellikle Gnosis Pay, Acala, Polygon ID ve Lukso gibi önde gelen platformların da aralarında bulunduğu Fractal ID’nin ortakları arasında, Web3 ekosistemindeki kişisel verilerin güvenliği konusunda endişelere yol açtı.
Fractal ID, kullanıcı tabanının yaklaşık %0,5’inin Fractal ID veri ihlalinden etkilendiğini açıkladı. Şirket, varsa hangi ortaklarının doğrudan etkilendiğini belirtmedi.
Ancak sosyal medya platformu X’teki kullanıcılar, Gnosis Pay ekibinden istenmeyen iletişimlere karşı dikkatli olmaları yönünde uyarı içeren e-postalar aldıklarını bildirdi.
Fractal ID Veri İhlalinin Ayrıntıları
Fractal’ın resmi bildirimine göre, veri ihlali 14 Temmuz’da, üçüncü bir tarafın bir operatörün hesabına yetkisiz erişim elde etmesi ve kullanıcı verilerine erişmek için bir API betiği çalıştırmasıyla gerçekleşti. Fractal ID siber saldırısı 05:14 AM UTC’de başladı ve 07:29 AM UTC’de tespit edildi ve kontrol altına alındı.
Hızlı müdahaleye rağmen saldırgan, Fractal ID kullanıcı tabanının yaklaşık %0,5’ine ait kişisel verilere erişti. Bu veriler arasında isimler, e-posta adresleri, cüzdan adresleri, telefon numaraları, fiziksel adresler ve yüklenen belgelerin görüntüleri yer alıyor.
“Saldırgan, Fractal ID kullanıcı tabanının yaklaşık %0,5’ine ait verilere erişti. Potansiyel olarak tehlikeye atılan bilgiler, Fractal ID kullanıcı profillerinde bulunan bilgileri içerir. Bu veriler, adları, e-posta adreslerini, cüzdan adreslerini, telefon numaralarını, fiziksel adresleri, yüklenen belgelerin görüntülerini ve resimlerini içerebilir” ifadeleri Fractal ID’nin resmi açıklamasında yer alıyor.
Fractal ID, kullanıcı güvenliği ve gizliliğine olan bağlılığını vurgulayarak, “Bu ihlalin etkisini azaltmak için derhal adımlar attık ve ek güvenlik önlemleri uyguladık. Ayrıca ilgili veri koruma yetkilileri ve siber suç polisi bölümüyle iletişime geçtik.” dedi.
“İhlal, ortamımızla sınırlıydı ve müşterilerimizin sistemlerini veya hizmetlerimizi kullanan ürünlerini etkilemedi. Veri ihlalleri, erişilen verilerin üçüncü taraflarla paylaşılması veya ticari amaçlarla kullanılmasıyla sonuçlanabilir. Etkilenen kullanıcıları, ek kişisel bilgi talep eden istenmeyen iletişimlere karşı dikkatli olmaya teşvik ediyoruz,” diye bilgilendirdi Fractal ID.
Fractal ayrıca kullanıcıları, ek kişisel bilgi talep eden istenmeyen iletişimlere karşı dikkatli olmaları konusunda uyardı.
Tepkiler ve Spekülasyonlar
İhlal, kullanıcılar ve ortaklar arasında önemli bir endişeye yol açtı. “Ethereal” adlı bir Twitter hesabı, hassas kişisel bilgileri olan hizmet sağlayıcılara duyulan güveni sorgulayarak hayal kırıklığını dile getirdi.
Web3 geliştiricisi Paulo Fonseca ayrıca bazı Gnosis Pay kullanıcılarına gönderildiği bildirilen bir e-postanın görüntüsünü de paylaştı. E-postada, “15 Temmuz 2024 Pazartesi günü saat 19:30’da (CET), KYC hizmet sağlayıcımız Fractal ID, Gnosis Pay ekibine 14 Temmuz 2024 Pazar günü meydana gelen bir veri ihlalini bildirdi.
Durumun karmaşıklığına ek olarak, 16 Temmuz’da Gnosis Pay, Li.Fi/Jumper hizmetindeki bir açığı içeren ayrı bir güvenlik olayı hakkında tweet attı. Web uygulamalarındaki widget’ı devre dışı bıraktılar ve kullanıcıların token onaylarını iptal etmeleri için adımlar sağladılar.
The Cyber Express Team’in bildirdiğine göre, bu istismarın kripto para biriminde yaklaşık 10 milyon dolarlık kayba yol açtığı bildirildi. 16 Temmuz’da gerçekleşen Li.Fi saldırısı, saldırganların kullanıcıların cüzdanlarından para çekmesine olanak tanıyan Li.Fi’nin sözleşmesindeki bir güvenlik açığını hedef aldı.
Potansiyel Bağlantılar ve Daha Geniş Etkiler
Fractal ID ihlali ile Li.Fi istismarı arasında doğrulanmış bir bağlantı olmasa da, zamanlamanın çakışması soruları gündeme getiriyor. Cyber Express Ekibi, yorum için Gnosis’e ulaştı ancak yayınlanmadan önce bir yanıt alamadı.
Fractal ID veri ihlali, özellikle kripto para birimi ve Web3 uygulamaları bağlamında hassas kullanıcı verilerini işleyen sistemlerde bulunan güvenlik açıklarını vurgulamaktadır. Çoğu yargı bölgesi, kripto para birimi borsalarının veya ödeme sağlayıcılarının, kullanıcıların kimlik belgelerinin, adlarının, fiziksel adreslerinin, e-postalarının ve diğer hassas verilerin görüntülerini içeren Müşterinizi Tanıyın (KYC) bilgilerini toplamasını ve saklamasını gerektirir.
KYC gerekliliklerinin destekçileri, bu uygulamanın kara para aklamayı ve diğer yasadışı faaliyetleri önlemek için elzem olduğunu savunuyor. Ancak eleştirmenler, Fractal ID ihlalinin de kanıtladığı gibi, bu tür hassas verilerin depolanmasının önemli riskler taşıdığını ileri sürüyor.