Утечка данных Binance: как хакер шантажирует крупнейшую криптобиржу
Хакер под псевдонимом Bnatov Platon утверждает, что выследил злоумышленников, укравших 7000 ВТС у Binance в мае этого года. Также он располагает доступом к 60 000 персональных данных клиентов биржи. Злоумышленник потребовал с биржи 300 ВТС за отказ от публикации информации, но Binance не пошел у него на поводу. Теперь хакер выкладывает KYC-данные пользователей биржи в соцсетях и Telegram-каналах. Среди них есть и граждане России. В ответ за информацию о личности хакера Binance предлагает 25 BTC. DeCenter разобрался в ситуации и нашел российских трейдеров, чьи данные выложил хакер. Если у вас есть учетная запись на Binance, обязательно прочтите статью.
В мае хакеры украли у Binance 7000 ВТС
7 мая 2019 года хакеры смогли вывести с криптобиржи Binance 7074 ВТС ($42 млн по тогдашнему курсу) — 2% от общей эмиссии монет, которые хранит биржа. Средства украли с горячего кошелька биржи, остальные кошельки площадки и средства пользователей не пострадали. На неделю биржа приостановила прием и вывод средств, но сохранила возможность торговли. Представители Binance рассказали, что хакеры взломали систему безопасности, используя фишинг и вирусы, и получили доступ к средствам, взломав API-ключи, коды двухфакторной идентификации и «возможно, другую информацию». Об утечке KYC-данных биржа не сообщила.
По последним данным компании-разработчика KYC/AML-решений для децентрализованных сетей Clain, хакеры начали отмывать украденные биткоины 12 июня, используя популярный крипто-миксер Chipmixer. Всего было отмыто как минимум 4836 ВТС. Сотрудники Clain обнаружили начальный пул хакерских адресов, а затем с помощью нейросети отследили дальнейшее движение средств.
Неизвестный хакер утверждает, что отследил украденные средства
По данным издания CoinDesk, около месяца назад на связь с журналистами вышел хакер под псевдонимом Bnatov Platon. Он утверждал, что у него есть более 60 000 конфиденциальных данных пользователей Binance, открывших счета между 2018 и 2019 годами. Среди данных: фотографии клиентов с документами в руках, адреса их электронной почты и пароли аккаунтов.
Информацию Bnatov Platon получил, взломав аккаунт сотрудника Binance, который предоставил хакерам доступ к API пользователей и помог им украсть у площадки 7000 ВТС в мае. Bnatov Platon заявляет, что отследил кошелек злоумышленников на Blockchain.com. По его данным, хакеры уже отмыли 2000 ВТС через биржи Huobi, Bitmex и Yobit. Это расходится с данными от Clain.
CoinDesk попытались проверить достоверность слов Bnatov Platon. Хакер предоставил изданию 636 скомпрометированных профилей. Среди них фото паспортов, водительских удостоверений и самих пользователей, держащих свои идентификаторы, а также несколько примеров метаданных изображений. Журналисты считают, что по крайней мере два из них принадлежат реальным клиентам биржи, еще одно было частично изменено, но на нем подлинные документы.
Также Bnatov Platon прислал журналистам бэкдор-код (намеренная уязвимость в коде, позволяющая получить удаленный доступ к данным, ОС или компьютеру) в алгоритме Bibance. Технический эксперт, к которому обратились за консультацией сотрудники CoinDesk подтвердил, что код позволяет получить доступ к API-ключам пользователей.
Bnatov Platon утверждает, что является «белым» хакером, который готов поделиться информацией о злоумышленниках (личность, номера телефонов, сервера) и их осведомителе в Binance. Он также отмечает, что он — состоятельный человек, который не нуждается в деньгах, но был бы не прочь от благодарности со стороны Binance в 300 ВТС. «Если бы мне были нужны деньги, я мог бы просто взломать один кошелек хакеров и вывести 600 или 700 монет, — сказал Bnatov Platon журналистам. — Но я не касался ни одного пенни, наблюдая, как все больше и больше монет отмываются и выводятся с целью замести следы». На вопрос о том, почему он не взломал хакеров, Bnatov Platon ответил, что не хочет дать им понять, что знает о них.
Bnatov Platon пробовал договориться с Binance о вознаграждении за отказ от публикации данных пользователей, но биржа отказалась, ничего не заплатив хакеру. После срыва переговоров Bnatov Platon решил, что сделка не состоится, и начал публиковать документы в сети, надеясь, что внимание СМИ заставит Binance передумать. «Я ошибся, решив вести переговоры с Binance. Это не те люди… поэтому я просто опубликую все данные их клиентов», — сказал Bnatov Platon журналистам.
Binance could prevent this happening. But they didn't.
Asking 300BTC for 10,000 photos? Binance should keep watching how many photos will be uploaded to the channel.
I offered them help in many different ways. And I asked 50coins for each step as a reward. #BinanceKYC
— Bnatov Platon (@BnatovP) 7 августа 2019 г.
CoinDesk переписывался с хакером около месяца, но выложил материал о нем только 7 августа, после того как он стал публиковать данные о двух сотнях клиентов Binance в открытом доступе в Telegram и соцсетях (каналы и группы уже удалены). Среди пользователей, чьи данные попали в сеть, были граждане США, Канады, Великобритании, Франции, Чехии, Швейцарии, Турции, России, Индонезии, Китая, Южной Кореи и Японии.
People keep asking, 'Why are you releasing those KYC photos?', 'How did you get them?'.
The reason I am releasing those KYC is simple: To warn you people who's dealing in Binance.
If I need money, I would sell it underground, not to publish it.
— Bnatov Platon (@BnatovP) 7 августа 2019 г.
Binance опровергает подлинность документов
7 августа Binance выпустила официальное заявление о ложной утечке KYC-данных. Биржа заявила, что неизвестный хакер (псевдоним Bnatov Platon не был назван) требует от площадки 300 BTC за 10 000 фотографий, «схожих с KYC-данными клиентов Binance». После отказа биржи от сотрудничества, хакер начал распространять данные в соцсетях и СМИ, выдавая себя за благодетеля. По его словам, у него есть KYC-данные еще с нескольких бирж.
Binance утверждает, что KYC-данные хакера не соответствуют данным, находящимся в их системе — на фото нет цифровых водяных знаков, которые биржа проставляет на все KYC-изображения. Опубликованные же хакером фото датируются февралем 2018 года, когда Binance заключила контракт с третьей стороной для проверки KYC и обработки возросшего количества запросов. Примечательно, что эти данные уже появлялись в даркнете.
Как отмечают в Binance, на просьбу биржи подтвердить источник информации, хакер потребовал 300 ВТС и отказался предоставить доказательства. Сейчас Binance сотрудничает со своим подрядчиком и полицией, пытаясь установить источник KYC-данных. За помощь в идентификации хакера биржа обещает награду в 25 BTC ($284 000 на момент выхода статьи).
По версии Binance, Bnatov Platon можно считать вымогателем-мошенником. Косвенно это подтверждает и сам хакер. Пользователь Medium Стивен Джим опубликовал интервью с Bnatov Platon, в котором хакер рассказал, что якобы сотрудничает с другими биржами, и намекнул, что, в отличие от Binance, те готовы платить «комиссионные», чтобы защитить личные данные своих пользователей. В Twitter также предположили, что хакер мог создать фейковый сайт Binance и собрать таким образом данные пользователей, которые не заметили подмены.
Среди слитых профилей есть и российские
DeCenter нашел трех россиян, чьи данные были выложены Bnatov Platon.
С нами согласился поговорить один из них — молодой парень, действительно зарегистрировавшийся на Binance в феврале 2018 года «на волне хайпа». Он не ведет торговлю и сейчас у него нет средств на бирже. Вот его фото:
О том, что его данные оказались в открытом доступе, пользователь узнал от DeCenter — Binance никак не предупредила его. «Это очень неприятная ситуация, конечно. Я сменил паспорт, и данные уже не актуальны, но ведь это мог бы быть и действующий документ», — сказал пользователь. Появлялись ли его данные в сети ранее, он не знает.
Вот еще два фото с российскими паспортами, выложенные хакером в открытый доступ в приватном Telegram-чате. Мы нашли их профили в соцсетях — данные совпадают с теми, что опубликовал хакер:
Пользователи твиттера также провели собственные изыскания. DeCenter нашел как минимум одно упоминание о подлинности данных пользователя из Турции.
12 августа в очередном Telegram-канале хакер (псевдоним в Telegram — Guardian J.) выложил данные еще 17 пользователей. Все они также зарегистрировались в Binance в 20-х числах февраля 2018 года.
В чате всего около 40 человек, но хакер охотно идет на диалог. Он продолжает утверждать, что его не интересуют деньги, но он все же хотел получить вознаграждение от Binance. На вопрос о том, почему он не замазывает данные людей на фото, прежде чем выложить их в открытый доступ, он пишет, что у него нет на это времени.
Binance все еще под угрозой?
Рынок не напугали новости о возможных утечках у Binance. Напротив, Binance Coin (BNB) вырос на 10% за ночь, торгуясь на уровне $30 за монету. Это не удивительно, ведь Binance — крупнейшая и ведущая криптобиржа в мире.
#Binance said it’s investigating the alleged leak of its customers’ verification information. The leak affected up to 60,000 individual users who sent #KYC information to the company in 2018 and 2019. The market's reaction? A big yawn.
— Weiss Crypto Ratings (@WeissCrypto) 7 августа 2019 г.
Однако вопросы к безопасности KYC-данных и средств пользователей остались. Если утечка — это ошибка стороннего поставщика, то продолжается ли с ним работа? Если это взлом хакеров или злоумышленник среди собственных сотрудников, то почему биржа об этом молчит? Устранена ли уязвимость в коде, якобы благодаря которой хакеры смогли украсть 7000 ВТС?
Пользователи привыкли, что Binance всегда откровенно заявляет о собственных ошибках, но в этот раз биржа немногословна.