Transak révèle une violation de données affectant près de 100 000 utilisateurs, le gang de ransomware Stormous revendique la responsabilité
Transak, une passerelle de paiement fiat-crypto basée à Miami et utilisée par les principales plateformes blockchain, a révélé dimanche avoir subi une violation de données affectant 1,14 % de ses utilisateurs. Le groupe de ransomware Stormous, qui revendique la responsabilité du piratage de la solution d'identité web3 Fractal ID, affirme également être à l'origine de l'exploitation de Transak.
Transak, une passerelle de paiement fiat-crypto basée à Miami utilisée par Metamask, Trust Wallet, Coinbase, Ledger, entre autres plateformes blockchain, a révélé lundi avoir subi une violation de données affectant 1,14 % de ses utilisateurs.
« Nous avons récemment identifié qu'un attaquant a obtenu un accès non autorisé à l'ordinateur portable de l'un de nos employés via une attaque de phishing sophistiquée. En utilisant les identifiants compromis, l'attaquant a pu se connecter au système d'un fournisseur tiers de KYC que nous utilisons pour les services de numérisation et de vérification de documents », a expliqué la société dans un blog post.
L'attaquant aurait accédé à des données personnelles sensibles, y compris des noms et d'autres informations personnellement identifiables (PII). Cependant, Transak, qui opère une rampe d'accès non-custodiale, « peut confirmer » qu'aucun actif ou donnée « financièrement sensible » comme les numéros de sécurité sociale ou les détails de carte de crédit n'a été compromis.
Transak, qui prétend avoir plus de 5 millions d'utilisateurs, a déclaré à The Block que 92 554 utilisateurs ont été affectés. "Nous contactons tous ces utilisateurs pour leur apporter des éclaircissements", a déclaré le PDG Sami Start dans un e-mail. L'entreprise travaille également avec les forces de l'ordre. "Nous avons informé les autorités de protection des données concernées, y compris le Bureau du Commissaire à l'information (ICO) au Royaume-Uni et d'autres régulateurs à travers l'UE et les États-Unis, avec une analyse pour d'autres pays en cours."
Le tristement célèbre gang de ransomware Stormous a revendiqué la responsabilité du piratage, publiant certains des dossiers volés sur son site . Le groupe a également récemment révélé qu'il était derrière la violation de Fractal ID —un système d'identité décentralisé qui fournit la vérification et la fourniture d'identité pour les projets Web3—en juillet.
Stormous prétend avoir volé 300 gigaoctets de données de Transak, y compris des documents sensibles tels que des pièces d'identité, des adresses, des relevés financiers et des selfies utilisés lors du processus d'intégration know-your-customer.
« Actuellement, il n'y a aucune indication d'utilisation abusive des données. Cependant, nous conseillons aux utilisateurs affectés de rester vigilants et de surveiller toute activité suspecte. Nous contacterons les utilisateurs affectés avec des conseils et des ressources pour se protéger contre une éventuelle utilisation abusive des informations, y compris des services de surveillance d'identité », a déclaré Transak.
La semaine dernière, Stormous a revendiqué la responsabilité d'une autre apparente exploitation de Fractal ID, affirmant avoir obtenu 12 gigaoctets de données de l'organisation, y compris des photos personnelles, des relevés bancaires, des adresses et des adresses ETH/BTC.
En réponse à l'enquêteur onchain ZachXBT, le premier à remarquer l'association entre les violations de Fractal et Transak, le cofondateur de Fractal Julian Leitloff a déclaré : « nous avons été contactés la semaine dernière par une partie recyclant le matériel d'août comme preuve d'une violation », suggérant que les données volées ne sont pas nouvelles.
« Nous avons néanmoins fouillé nos systèmes à la recherche de preuves de quelque chose d'anormal et n'avons rien vu d'anormal », a déclaré Leitloff, ajoutant que c'était « business as usual » depuis l'incident de juillet.
Les deux entreprises ont engagé des parties externes pour enquêter sur les violations de données.
« La plupart des gens n'ont pas le choix car diverses plateformes centralisées sont partenaires de Fractal ID et nécessitent un KYC pour les utiliser », a déclaré ZachXBT.
Note de l'éditeur (21 octobre 2024) : Mise à jour du titre après que Transak a répondu à une question de The Block.
Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.
Vous pourriez également aimer
Le réseau principal Omni Core est mis en service, favorisant un écosystème Ethereum plus unifié
En bref Omni Network a annoncé le lancement de son réseau principal Core, répondant aux défis de fragmentation du rollup et permettant à Ethereum d'atteindre une plus grande évolutivité et fonctionnalité.
Hex Trust présente HT Markets MENA, pionnier des services de rampe d'accès et de sortie Fiat à Dubaï
En bref Hex Trust a lancé HT Markets MENA, offrant des services d'entrée/sortie fiat désormais disponibles pour les clients institutionnels et les investisseurs accrédités, avec un seuil d'entrée minimum fixé à 368,000 XNUMX AED.
Saga Mainnet 2.0 est désormais en ligne, Uniswap V3 déployé sur le réseau
En bref Saga lance Mainnet 2.0, préparant le terrain pour la sortie de sa couche d'intégration de liquidité, qui vise à créer un environnement de liquidité unifié dans tous les écosystèmes blockchain.
Un juge fédéral déclare que Coinbase peut retirer wBTC, rejetant la demande d'ordonnance restrictive temporaire de BiT Global, affilié à Justin Sun
Résumé rapide Un juge californien a statué que Coinbase peut retirer le wrapped bitcoin tout en rejetant la demande de BiT Global pour une ordonnance restrictive temporaire. Coinbase a annoncé qu'elle retirerait le produit bitcoin tokenisé après que son dépositaire ait noué un partenariat avec l'entreprise basée à Hong Kong, liée à Justin Sun. Un représentant de Coinbase a déclaré que la bourse pourrait envisager de sanctionner les plaignants pour avoir intenté un procès fallacieux.