Берлинский стартап по идентификации Fractal ID недавно пострадал от взлома: были украдены данные более 6000 клиентов. Это позор, потому что Fractal ID на самом деле предлагает интересный продукт для децентрализованных финансов.
14 июля этого года в берлинском офисе Fractal ID, должно быть, царило волнение. В 7 часов утра системы подняли тревогу, поскольку обнаружили необычную активность на сервере. Вскоре после этого стало ясно, что это было нападение. Инженеры отключили подсистему, чтобы уменьшить ущерб.
Но для 6300 пользователей, около 0,5 процента всех клиентов Fractal ID, было уже слишком поздно. Хакеры украли конфиденциальные данные. Что именно зависит от пользователя. В лучшем случае только имя, кошелек и адрес электронной почты, в худшем — всю программу, включая почтовый адрес и скан удостоверения личности. Кошмар.
Предполагается, что инцидент стал результатом взлома в сентябре 2022 года, в результате которого «оператор» — клиент или поставщик услуг Fractal ID — был заражен вредоносным ПО, циркулировавшим в то время. Эта вредоносная программа украла пароль, и оператор не сменил его, несмотря на то, что знал об инциденте. С помощью этого пароля хакер недавно смог получить доступ к внутренним системам с правами администратора и украсть личные данные.
Fractal ID теперь ввел новые меры безопасности, такие как более надежные системы входа в систему и более строгий контроль IP. Но нет никаких сомнений в том, что инцидент стал серьезной неудачей для стартапа. Как пишет издание, они осознают, что это «действительно болезненно для пострадавших пользователей» и «также болезненно для нас, поскольку мы обязаны защищать данные пользователей».
Как поставщик услуг идентификации, берлинский стартап перемещается между старой сетью и основанной на блокчейне Web3. Он предлагает программное обеспечение, с помощью которого пользователи могут напрямую подтвердить свою личность, а такие компании, как фондовые биржи или банки, могут передать проверку личности на аутсорсинг. В отличие от других подобных провайдеров, Fractal ID связывает личность с блокчейнами Web3.
Пользователи могут связать свою личность с адресом кошелька. Децентрализованные приложения (Dapps), такие как децентрализованные биржи, могут затем запрашивать в базе данных Fractal ID адрес кошелька через API. Альтернативно, смарт-контракты могут подключаться к реестру DID для доступа к спискам проверенных адресов кошельков.
Те, для кого сила криптовалют заключается прежде всего в анонимности или псевдонимности пользователей, вероятно, будут категорически отвергать такие решения для идентификации. Но есть приложения, в которых их практически невозможно обойти; Вопрос не в том, будет ли это, а в том, насколько плохо это будет.
Airdrops, которые распределяют монеты, DAO, где пользователи голосуют, или социальные Dapps, такие как Common Ground, заинтересованы в том, чтобы их не заполонили марионетки в носках, боты и ИИ. «Подтверждение личности» позволяет Dapps проверять, является ли пользователь уникальным человеком.
С другой стороны, децентрализованные биржи, которые позволяют торговать так называемыми «реальными активами» – такими как государственные облигации, акции или другие ценные бумаги – требуют подтверждения полной проверки. Эти биржи могут проверять с помощью Fractal ID, проверен ли кошелек, при входе в систему.
В обоих случаях Dapp не имеет доступа к каким-либо личным данным. Все, что вы знаете, это то, что Fractal ID верифицировал пользователя и при необходимости и в зависимости от уровня верификации тоже располагает этими данными.
Зачем децентрализованной бирже знать, кто является пользователем, если полиция или налоговая служба могут при необходимости выяснить личность? И почему децентрализованное приложение должно проверять всю вашу личность, чтобы исключить, что вы имеете дело с ботом, если достаточно простого «доказательства личности»?
Конечно, Fractal ID не идеален. Но это огромный шаг вперед по сравнению с классическими процессами идентификации, в которых личные данные, фотографии, сканы удостоверений личности, имена, адреса и т. д. хранятся не на одном сервере, а на нескольких серверах, поскольку каждая биржа и каждый поставщик услуг должны собирать данные. их самих.
Самое главное, Fractal ID, по-видимому, является одним из первых поставщиков услуг идентификации Web3, добившихся значительного проникновения на рынок. Стартап работает с экосистемами блокчейнов, такими как Polygon, Avalanche, Ripple, Near или Manta, а также с Dapps, такими как Polytrade, децентрализованная биржа реальных активов, или Common Ground, чат-приложение на основе токенов, такое как Discord или Slack. Было бы обидно, если бы взлом уничтожил эти достижения.
Подпишитесь, чтобы получать последние публикации на свою электронную почту.
Source: https://bitcoinblog.de/2024/07/23/sensible-daten-von-mehr-als-6-000-web3-usern-gestohlen/
