46

还原币安用户信息泄露事件:黑客攻击黑客?

 4 years ago
source link: https://www.tuicool.com/articles/QreaM3N
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

NrYZnuu.jpg!web

据 coindesk 今日消息,昨日在社交网络上公布币安 KYC 的人声称,他是为了“引起币安对真正的幕后黑手”的注意才这样做的,而他是一个“白帽黑客(White Hat Hacker)”,自五月份币安交易所被盗 7000 个比特币以来,他一直在追踪这笔资金,且发现币安被盗事件中,有币安内部人士的参与。

事件回顾:7000 比特币被盗,客户信息泄露

2019 年 5 月 8 日,币安交易所被黑客盗取 7000 枚比特币。2 天后币安回应称将对 API、2FA(谷歌二次验证)和提币验证流程进行重大调整,也通过活动形式向用户赠送1,000个YubiKeys作为补偿。

根据 coindesk 今日发布的文章显示,在币安被盗后,coindesk 方面与名叫“Bnatov Platon”的黑客取得了联系,并从7月份开始一直在交流。

而文章中表明,Platon 说他一直在追踪这笔被盗资金,他发现盗取币安比特币的黑客首先通过一个币安内部人士公开的 API 来对用户的账户进行远程访问,然后黑客存储了用户的 API 钥匙,还有电子邮箱、护照、驾照等隐私信息,并放在了文件夹中。

而 Platon 表示,黑客盗取的客户信息中,涉及到的客户都是在 2018-2019 年开设的币安账户。

接着,Platon 表示,黑客写了一个程序,这个程序的运作模式是:先买一个叫做‘BlockMason Credit Protocol’的代币,然后将这些代币转换成比特币。

这些文件 Platon 也有一份,当然这是他从黑客那里盗取来的。而黑客写的这个程序允许黑客可以一次性提取 0.002个比特币。通过追踪发现,黑客已经通过 Bitmex、Yobit、Huobi洗了 2000 个比特币,每天兑换 100 万美元的比特币。

区块链开发公司 VisibleMagic 的 CTO 维克托•施帕克(viktor shpak)也表示:“这(币安被盗)极有可能是内部人士创建了一个处理程序来访问用户的 API,黑客可以用这个来访问用户数据,然后建立一个工具包进行处理。”

事实上,Platon 也确实证实了这一点。此外,Platon 还发现,被盗的比特币被黑客存储在 Blockchain 的钱包中,而这个钱包的运行方,是 7 月 31 日才上线的交易所 PIT。

事件追踪:向币安索要 300 个比特币不成,公开信息

Coindesk 文章显示,Platon 在发现盗取币安比特币的黑客行踪后,与币安的 CGO Ted Lin 取得了联系。

他表示:

“我个人而言想让币安成为世界上第一个抓住黑客的交易所,这将对币安的声誉极为有利。我告诉 Ted Lin 我得到了内幕信息,包括这个人的详细信息、与外界的沟通细节,甚至还有这个人的照片。我还告诉他我有黑客的详细信息,包括服务器信息、他们的身份、他们的电话号码等。”

而后,Platon 希望向币安提供这些极具价值的信息,然后币安能向他提供奖金。根据昨日币安发布的公开声明显示,Platon 要求币安支付 300 个比特币(大约 3000 万美元)作为提供这些信息的报酬。

一开始Ted Lin 也表示愿意用奖金来换取这些信息。但后来 Ted Lin 却表示“考虑到你已经(向媒体公开了部分信息)造成损失,我们对你提供的信息所支付的报酬会大大减少”。

EnmuiaZ.jpg!web

图为 coindesk 文章透露的两人对话截图

Platon 表示,经过大约一个月的谈判后,“币安一分钱也没付”。然后 Platon 威胁币安要公开客户信息。

根据 coindesk 文章表示,这个威胁在 8 月 5 日变成了现实,他上传了一个包含 166 人的 KYC 信息,将一个具有 500 张照片的文件转储到一个文件共享网站,化名为“guardian M”。

然后在昨天早上,Platon 将数百张持有身份证的个人照片发送到了一个 Telegram 的小组,进而引起了轩然大波。

真实动机:“警告在币安交易的人”

Platon 在推特上表明了自己公开客户信息的真实动机:

“我要警告那些在币安上进行交易的人。”

同时他还解释说自己不是为了钱:

“如果我需要钱的话,我不会把信息公开出来,而是把这些信息拿到地下去卖。”

qeeieqJ.jpg!web

图为 Platon 推文截图

在接受记者采访时他也表示自己对经济报酬不感兴趣:

“当我需要钱的时候,我只需要破解一个黑客的账户,就可以轻松取出超过 600 或 700 个比特币。”

然而从coindesk 文章中透露的 Platon 与 Ted Lin 的谈话中可以看出,“不是为了钱”这个意思与他之前表达的意思完全相反。

6ziieeY.jpg!web

图为 coindesk 文章透露的两人对话截图

而 Platon 也回复了关于对他用信息换取 300 个比特币的质疑,但他并没有直接回复,而是表示:

“用 10000 张图片换取 300 个比特币?币安应该自己好好看看会有多少(用户的)照片被上传到网上去。”

riiIZfa.jpg!web

来源/31QU整理自网络

文/小壳


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK