鏈得得 ChainDD.com
|得區塊鏈者得天下|
如何保障使用者資訊不被洩露,同時符合金融監管,是每個交易所不得不思考的難題。
編輯|肆歌
頭圖|Unsplash
幣安最近攤上事兒了。
8月8日,Telegram直播群裡,大量疑似從幣安洩露的使用者KYC資料被曝光,其中包括身份證、護照等重要證件照片,這些證件上面記錄著一些使用者極其隱私的資訊。
群截圖
鏈得得注:KYC,即瞭解客戶規則(know your customer),KYC政策不僅要求金融機構實行賬戶實名制,瞭解賬戶的實際控制人和交易的實際收益人,還要求對客戶的身份、常住地址或企業所從事的業務進行充分的瞭解,並採取相應的措施。
隨後幣安官方迴應表示,在Telegram群傳播的資料和幣安後臺中的資料不同,幣安的內部資訊全部採用了電子水印,而網上傳播的圖片沒有幣安特定的電子水印。同時,網上傳播的圖片的標註日期都是2018年2月。在那期間,由於工作量巨大,幣安曾有一週將部分KYC稽覈外包給第三方服務公司。
幣安公告
事實上,幣安使用者KYC資料被曝光事件不是第一次發生。早在今年1月份,類似新聞就傳出,當時一名為“ExploitDOT”的駭客聲稱,已經利用Binance等其他幾個市場頭部加密貨幣交易所的技術漏洞竊取了他們使用者的KYC資料,並在網上釋出了數百張相關照片。當時幣安方面當時否認資料洩露,並表示這是一次有組織的網路釣魚事件,誘騙交易所使用者提供更多的私密資訊。
有趣的是,1月份和8月份這兩次洩露的KYC資訊上標註的時間都為18年2月份,而且有著相當一部分資訊重合了。
5月份,幣安發生了另一起轟動整個業界的事件,7000多個比特幣被盜,按當時的幣價換算涉案金額約4000萬美元。幣安官方迴應稱,駭客使用了複合型的攻擊技術,包括網路釣魚,病毒等其他攻擊手段,獲得大量使用者API金鑰、谷歌驗證2FA碼以及其他相關資訊。
而8月7號的使用者KYC資訊洩露似乎也與5月份的比特幣被盜事件有關。在週三釋出幣安KYC客戶詳細資訊前,一位匿名為Bnatov Platon的駭客向Conindesk指出,上次與使用者API秘鑰等資訊一同洩露的還有KYC資訊,他認為可能是交易所內部人士向駭客提供大量API資訊,允許駭客直接訪問客戶帳戶。儘管Platon自詡是白帽駭客,並宣告自己與此前主導盜取比特幣事件的駭客不是一夥,他的目的只是想把駭客繩之以法,但他似乎以KYC資訊要求幣安提供揭露資訊漏洞的賞金,談判最終失敗,因此Platon於8月7日公開部分KYC照片。最後,他還聲稱自己掌握有6萬多使用者KYC資訊。
但如果Platon所說為真,案件仍有存疑的地方,比如,為何這次KYC資訊與1月所曝光的資訊大量重疊,如果是5月隨比特幣被盜事件一同被竊取的,為何他不發新一批的使用者KYC資訊?
不管真相如何,幣安的使用者KYC資訊確實是丟了,與這幾次事件一同被質疑的不僅有幣安的安全防護能力,還有KYC規則本身,儘管在一定程度上,KYC規避了人們利用加密貨幣從事洗錢等犯罪行為,但是由於資訊披露的嚴格要求,加上交易所平臺的中心化,使用者也承擔著自己的隱私不慎被洩露的危險。如何保障使用者資訊不被洩露,同時符合金融監管,是每個交易所不得不思考的難題。
