Binance Vi phạm KYC – Trách Ai?

Binance lộ KYC tài khoản khách hàng

Vào ngày 7 tháng 8, Binance, sàn giao dịch tiền điện tử lớn nhất thế giới (tính theo khối lượng giao dịch hàng ngày), đã trở thành nạn nhân của vụ bê bối hack, tiết lộ việc sỡ hữu thông tin cá nhân của khách hàng (KYC) (10.000 ảnh cá nhân ). Tin tặc yêu cầu đổi 300 Bitcoin (trị giá khoảng 3,5 triệu đô la) từ sàn giao dịch, nếu không, người đó sẽ phát hành tất cả dữ liệu.

Ngoài ra, có đề cập rằng khi bắt đầu các hoạt động của mình, tin tặc đã thành lập một vài nhóm Telegram chuyên dụng (đã bị đóng cửa) được cho là có rất nhiều tài liệu nhạy cảm. Tuy nhiên, vì tất cả các dữ liệu này thiếu một hình mờ kỹ thuật số mà Binance thường sử dụng cho thông tin nội bộ của mình, có nhiều nghi ngờ về tính xác thực của tài liệu này. Về vấn đề này, nhóm bảo mật Binance đã có nhận xét sau:

Tại thời điểm hiện tại, không có bằng chứng nào được cung cấp cho thấy bất kỳ hình ảnh KYC nào được lấy từ Binance, vì những hình ảnh này không chứa hình mờ kỹ thuật số được in bởi hệ thống của chúng tôi.

Binance tuyên bố rằng những hình ảnh được phát hành cho đến nay có thể có từ tháng 2, thời điểm nền tảng giao dịch hàng đầu đang sử dụng nhà cung cấp dịch vụ bên thứ ba để xử lý các xác minh KYC của mình. Tương tự, sàn giao dịch cũng yêu cầu tin tặc cung cấp cho họ thêm thông tin liên quan đến nguồn dữ liệu KYC này, nhưng cá nhân chỉ đơn giản yêu cầu 300 BTC và từ chối cung cấp cho nhóm bất kỳ bằng chứng không thể bác bỏ.

Tại thời điểm này, một số người đang đặt câu hỏi liệu Binance có thể đang cố gắng loại bỏ bất kỳ hành vi sai trái nào trong vấn đề này hay không bằng cách làm chệch hướng đổ lỗi cho nhà cung cấp bên thứ ba quản lý thông tin của công ty KYC tại thời điểm đó. Tác giả và nhà phân tích tiền điện tử độc lập Sam Town, chỉ ra:

Dữ liệu của KYC nên – và hiện – được xử lý nội bộ bởi các sàn giao dịch lớn. Chúng tôi có thể sau Satoshi một thập kỷ, nhưng hệ sinh thái tiền điện tử vẫn đang trong quá trình hoàn thiện. Các giải pháp ngăn chặn như quản lý dữ liệu KYC của bên thứ ba có thể cần thiết để khởi động nền tảng, nhưng điều đó không có nghĩa là Binance không có trách nhiệm trong trường hợp này.

Một ý kiến tương tự cũng được chia sẻ bởi Paul Bischoff, một biên tập viên của Comparitech, người đồng ý rằng ngay cả các công ty và chính phủ cũng thường xuyên đổ lỗi cho các nhà thầu và các chi nhánh của họ gây ra, và do đó Binance phải chịu trách nhiệm rất lớn trong toàn bộ chuyện này – nếu dữ liệu hóa ra là chính hãng.

Binance đang nói các biện pháp khắc phục tích cực để cầm máu

Là một phần trong các biện pháp kiểm soát thiệt hại của công ty, nhóm bảo mật Binance, đang cung cấp phần thưởng 25 Bitcoin cho bất kỳ ai có thể cung cấp cho họ thông tin thích hợp có thể giúp bắt giữ tin tặc / tin tặc đằng sau vụ việc này. Và trong khi tất cả những điều này nghe có vẻ ổn, thật khó để tránh thực tế là sàn giao dịch tiền điện tử hàng đầu cũng trở thành nạn nhân của một vụ bê bối hack khác vào tháng 5 vừa qua, công ty đã mất khoảng 7.000 Bitcoin (trị giá khoảng 40 triệu đô la vào thời điểm đó hack). Vào thời điểm đó, nhiều người dự đoán rằng vụ việc sẽ có tác động không thể khắc phục đối với hình ảnh của công ty. Tuy nhiên, hiệu suất của Binance đã chỉ tiếp tục được cải thiện kể từ đó.

Biểu đồ giá BNB từ ngày 6 tháng 8 trở đi

Về vấn đề này, sau vụ vi phạm dữ liệu mới nhất này, giá của Binance Coin (BNB) – loại tiền kỹ thuật số gốc của sàn giao dịch tiền điện tử – đã tăng hơn 12%, qua đó cho thấy cộng đồng tiền điện tử toàn cầu dường như không quan tâm đến tất cả về rủi ro bảo mật này. Về chủ đề, Town thẳng thắn:

Hơn 500.000 người dùng Facebook có dữ liệu riêng tư của họ – bao gồm chi tiết ID và dữ liệu vị trí – bị rò rỉ vào tháng 4 năm nay. Cambridge Analytica đã thấy dữ liệu riêng tư của 87 triệu người dùng Facebook được khai thác vào đầu năm 2018. Có ai thực sự quan tâm? Có ai ngừng sử dụng Facebook không? Bithumb đã mất 30 triệu đô la trong một vụ hack vào tháng 6 – nó vẫn biến hơn 700 triệu đô la về khối lượng hàng ngày và đứng trong 30 sàn giao dịch hàng đầu. Không ai quan tâm đủ về quyền riêng tư dữ liệu đối với vấn đề Binance KYC bị hack.

Một điều đáng nói nữa là ngay sau khi vụ việc được đưa ra ánh sáng, CEO của Binance, Changpeng Zhao (còn gọi là CZ), đã lên Twitter để nói với những người theo dõi mình rằng họ không nên rơi vào vụ rò rỉ FUD KYC. Tuy nhiên, thông báo này dường như không giải quyết được cốt lõi của vấn đề: Nếu đúng là dữ liệu KYC nhạy cảm bị rò rỉ trực tuyến, nó sẽ khiến nhiều người gặp nguy hiểm về quyền riêng tư và bảo mật kỹ thuật số.

Nếu dữ liệu bị đánh cắp hóa ra là có thật, hơn 10 000 hình ảnh bị rò rỉ đặt ra câu hỏi rằng nó có thể đáng giá rất nhiều tiền cho các tội phạm khác nhau. Bischoff chỉ ra rằng chúng có khả năng có thể được sử dụng cho các hành vi sai trái để bỏ qua các biện pháp xác thực hai yếu tố, hoặc thậm chí tạo điều kiện cho một loạt các vụ lừa đảo ở các ngân hàng. Trong một bài báo gần đây, Bischoff đã viết 1 bài dài về cách hình ảnh và quét hộ chiếu thường xuyên được sử dụng bởi các đại lý bên thứ ba bất chính để thực hiện các hoạt động bất hợp pháp của họ. Không chỉ vậy, dữ liệu KYC bị rò rỉ thường được sử dụng để tạo ID giả và hộ chiếu, có thể được bán với giá lên tới 1.500 đô la.

Cuối cùng, theo các báo cáo chưa được xác nhận khác nhau, dường như các hành động của tin tặc không phải là một nỗ lực nhằm truyền bá bất kỳ FUD nào về Binance, mà dường như anh ta / cô ta chỉ bị thúc đẩy bởi tiền chuộc Bitcoin.

Một khía cạnh khác của câu chuyện được nổi lên

Tất cả thông tin mà Binance và các nguồn truyền thông đáng tin cậy khác nhau đã cung cấp đã được thảo luận tại thời điểm này. Tuy nhiên, theo một số lý thuyết được tin tưởng, một hacker có tên Bnatov Platon có thể đứng sau toàn bộ vụ bê bối này. Người ta cáo buộc rằng Platon đề nghị hỗ trợ Binance khi sàn giao dịch bị hack hồi tháng Năm. Ông rõ ràng có thể theo dõi những người đã đánh cắp 7.000 BTC từ nền tảng giao dịch hàng đầu cũng như phục hồi hơn 60.000 tệp KYC được liên kết với cơ sở khách hàng của công ty.

Platon tuyên bố rằng (các) tin tặc có thể có quyền truy cập vào tất cả các thông tin này bằng cách xâm nhập vào tài khoản của một người trong công ty, người được cho là đã cài đặt một cửa sau vào mô-đun giao dịch của Binance (thông qua các khóa API) – do đó cho phép tin tặc đòi hỏi số tiền nói trên của sàn giao dịch tiền điện tử.

Tuy nhiên, đây là nơi quan trọng nhận được thú vị. Platon – người tự coi mình là một hacker trắng của người Hồi giáo – được cho là đã yêu cầu phần thưởng 300 Bitcoin từ Binance để đổi lại việc cung cấp cho công ty thông tin chi tiết về những kẻ xâm nhập, bao gồm tên, số điện thoại, ảnh, dữ liệu máy chủ và thư từ của họ. Nhưng khi các đại diện làm việc cho sàn giao dịch không chấp nhận yêu cầu nhận phần thưởng, anh ta đã công bố chi tiết KYC của hơn 600 khách hàng Binance thông qua các nhóm Telegram khác nhau. Liên quan đến vấn đề này, Platon báo cáo thêm:

Khi tôi cần tiền, tôi chỉ có thể hack một số dư tài khoản trao đổi (Là một Hacker, tôi có thể dễ dàng lấy hơn 600 hoặc 700 xu bằng cách hack ví  […] Quyết định đàm phán với Binance của tôi là sai. Họ không phải là người thích hợp nên tôi sẽ xuất bản tất cả dữ liệu.

Cuối cùng, Platon cũng tuyên bố đã theo dõi phần lớn số Bitcoin đã bị đánh cắp từ sàn giao dịch hồi tháng 5. Theo ông, ít nhất 2.000 trong số những đồng tiền này đã được gửi đến nhiều địa chỉ ví khác nhau thông qua các sàn giao dịch khác nhau, bao gồm Bitmex, Yobit, KuCoin và Huobi. Bây giờ anh ta tuyên bố có kế hoạch xuất bản tất cả dữ liệu mà anh ta có dưới sự kiểm soát của mình trên các lĩnh vực công cộng khác nhau.

Liên quan đến vấn đề này, chúng tôi đã liên hệ với Benjamin Pirus, người dẫn chương trình podcast có tên là Crypto: Secrets of the Trade. Khi được hỏi về cách tốt nhất để CZ giải quyết tình huống này, Pirus đã trả lời bằng cách nói: