Web3 KYC vendor Fractal ID loses over 50k users’ passport info in data breach

Fractal ID, fournisseur de services KYC sur le Web3, perd les informations de passeport de plus de 50 000 utilisateurs suite à une violation de données

ParCryptoFinder

Fractal ID, un fournisseur de services de vérification d’identité numérique, a révélé une violation de données affectant environ 0,5 % de sa base d’utilisateurs. Selon le site Web de l’entreprise et le profil X, cela pourrait concerner plus de 50 000 utilisateurs.

L’API compromise comprend des informations utilisateur sensibles telles que les noms, les adresses e-mail, les adresses de portefeuille, les numéros de téléphone, les adresses physiques et les images des documents KYC téléchargés.

Fractal est utilisé par des projets web3, notamment Polygon ID, Ripple, XRP Ledger, Avalanche, Gnosis, Near, Aurora, Acala, Polymath, BNB Chain, Lukso, Aleph Zero et Arbitrum Foundation.

L’entreprise a indiqué que l’incident s’est produit le 14 juillet 2024, lorsqu’un tiers non autorisé a accédé au compte d’un opérateur et a exécuté un script API pour extraire les informations personnelles des utilisateurs. La violation a commencé à 05h14 UTC et a duré un peu plus de deux heures.

La société a déclaré avoir pris des mesures immédiates pour atténuer l’impact de la violation et avoir mis en œuvre des mesures de sécurité supplémentaires. Fractal ID a également signalé l’incident aux autorités compétentes en matière de protection des données et à la division de la police chargée de la cybercriminalité.

En réponse à cette violation, Fractal ID a souligné que l’incident était circonscrit à son environnement et n’affectait pas les systèmes ou les produits de ses clients utilisant ses services. Cependant, la société a conseillé aux utilisateurs concernés de se méfier des communications non sollicitées demandant des informations personnelles, car les données piratées pourraient être partagées avec des tiers ou utilisées à des fins commerciales.

L’approche de Fractal ID pour remédier à la violation consistait d’abord à contacter les utilisateurs concernés, puis les clients concernés, avant de faire une annonce publique.

L’incident a suscité des critiques de la part de certains membres de la communauté crypto. L’enquêteur sur la blockchain ZachXBT a remis en question la capacité de l’entreprise à sécuriser les données des utilisateurs et a suggéré aux équipes utilisant le produit de Fractal ID d’envisager des alternatives.

Impact potentiel de la violation

Le site Web de la société affirme que son produit élimine les « risques des plateformes centralisées », ce qui soulève des questions sur la nature de la décentralisation de Fractal. Fractal affirme que sa mission est ancrée dans la « véritable propriété des données ».

« Nous pensons que l’identité décentralisée est la clé pour révolutionner la façon dont les individus interagissent avec le Web, en permettant une véritable propriété des données et le pouvoir de les partager de manière sélective. »

Site Web d’identification fractale

Cependant, un examen de la documentation destinée aux développeurs de l’entreprise semble montrer que toutes les informations utilisateur sont accessibles via un seul appel d’API. Une fois qu’un utilisateur autorise une application à accéder à ses données, il ne semble pas que cette autorisation soit à nouveau requise pour les demandes de données ultérieures.

Il est donc difficile de comprendre comment l’utilisateur peut avoir la souveraineté et la propriété des données. Un point de terminaison centralisé était accessible à un attaquant, ce qui a entraîné la perte des données utilisateur les plus sensibles sans aucun message signé par les clés privées des utilisateurs.

Des milliers d’informations d’identité d’utilisateurs, comme des scans de passeports et de permis de conduire, ont été volées lors de cette brèche sans que leurs propriétaires ne les aient « partagées de manière sélective ». L’ampleur des dommages que cette brèche pourrait causer est considérable.

Les données volées les plus sensibles pourraient être utilisées pour créer des comptes frauduleux, lancer des attaques de phishing, tenter de pirater des comptes existants ou même un vol d’identité plus large.

Grâce à l’accès aux noms, aux adresses e-mail et aux adresses de portefeuille, les acteurs malveillants peuvent élaborer des stratagèmes d’usurpation d’identité convaincants ou lancer des attaques d’ingénierie sociale sophistiquées.

Les adresses physiques pourraient être utilisées pour traquer, harceler ou pire dans le monde réel, et les signalements d’invasions de domicile visant des professionnels de la cryptographie sont en augmentation. Les adresses de portefeuille compromises pourraient être utilisées pour suivre l’historique des transactions ou cibler des comptes de grande valeur.

Si l’aspect « décentralisé » des données des utilisateurs de Fractal reste en question, un élément web3 clair de l’entreprise, le prix de son token (FCL), a été marginalement affecté, en baisse de 2,9 %. Avec moins de 3 000 $ de volume d’échange sur 24 heures et une capitalisation boursière de 144 037 $, le token a chuté de 43 % depuis le début de l’année.

Les utilisateurs touchés par cette violation doivent rester vigilants, surveiller de près leurs comptes et envisager de mettre à jour leurs mesures de sécurité sur divers services en ligne pour atténuer les risques potentiels.

Le fournisseur Web3 KYC Fractal ID perd les informations de passeport de plus de 50 000 utilisateurs suite à une violation de données est apparu en premier sur CryptoSlate.