自选
我的自选
查看全部
市值 价格 24h%
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

KYC数据如何因粗劣的网页设计而泄露

2019-04-05 15:56:58
收藏

加密货币初创公司的KYC数据泄露事件

一位开源加密初创公司MyCrypto的安全分析师正在调查一家美国加密货币初创公司(未具名),该公司由一位同事提醒他注意。这家初创公司的网站是匿名注册的,出于多种原因看起来可疑。首先,其网站上发布的团队照片是假的。其首席营销官Rizwan Gray使用了一张名为Jonathan Schiff博士的大学教授的照片。但最令人担忧的是,该网站是建立在一个原始的WordPress网站上,而非更复杂的后端。因此,这家初创公司由15,000名满怀希望的投资者上传的整个KYC数据目录是公开的。

在这些文件中,分析师看到了“穿着制服的人员手持他们的身份证、各国驾照、包含各国指纹数据的文件、孟加拉人民共和国国民身份证、更多标题为‘印度政府’的身份证、意大利护照、俄罗斯联邦护照、乌克兰护照、阿尔及利亚护照、大韩民国护照、越南社会主义共和国护照、委内瑞拉护照……”这份名单还在继续。

正如他在一篇博客文章中指出的那样,这是一个巨大的安全风险。“这些类型的文件非常重要。如果落入坏人之手并结合其他数据,人们可以用这些文件以各种方式伤害你:他们可以窃取你的身份、窃取你的钱财、破坏你的信用评分、毁掉你的声誉,并给你的生活带来重大问题。”他写道。

确实,KYC文件对黑客来说是一个宝库。今年早些时候,Decrypt报道了一名黑客,他声称从包括Binance和Kraken在内的主要交易所获取了一批此类文件。他总共以1000美元的价格出售这些文件。

而且,这位分析师补充道,暴露的WordPress后端对于一个据称由“数据管理、业务管理、物流专家和IT专家”创立的区块链初创公司来说,是一个糟糕的表现。

我们联系了这位分析师,了解这到底有多大的安全风险。一个非安全研究人员能否找到这些泄露的文件?“哦,绝对任何人都有可能,”他说。他解释道,在WordPress的原版中,所有上传的文件都进入目录中的同一个位置(/wp-content/uploads/年/月)。如果一个粗心的后端工程师让这个目录保持开放,用户只需输入这个通用URL就可以偶然发现这些文件。

KYC/AML噩梦

问题是,KYC/AML要求是不可避免的。除非你完全拒绝使用交易所,否则大多数可以用现金购买数字代币的地方都旨在遵守这些法律。最近几周,甚至像LocalBitcoins这样的匿名坚定者也屈服于强大的监管机构。

不合规的后果可能是严重的。例如,最近欧盟的《通用数据保护条例》(GDPR)威胁要对不遵守“了解客户”和反洗钱法律的汇款机构处以高达1000万美元的罚款。(而且这还是“较轻”的选项。)

但即使是最具欺诈性的项目也在遵守吗?这位分析师认为并非如此。他解释道,像他调查的那家“初创公司”给人一种合规的假象,以此作为收集宝贵KYC数据的借口。具体来说,该违规网站已经失效,所有数据都已被“清除”——尽管代币销售即将开始。

他表示,ICO(首次代币发行)一直都是这样。“当ICO成为‘潮流’时,不良行为者可以快速建立一个网站,创建一个bitcointalk帖子,推送谷歌广告,并宣传他们的‘承诺’,以迅速获取资金和/或KYC文件。”他说道。“一旦他们收集到这些,他们要么关闭操作并重新开始,要么就抛弃这个项目。”

这位分析师表示,你应该信任的代币销售是在信誉良好的交易所上进行的。这些“首次交易所发行”——例如在Binance和Huobi上看到的——是与像Chainalysis和Refinitiv这样复杂的分析公司密切合作执行的。例如,根据Binance的说法,Refinitiv“筛选、识别、验证和监控客户,以用于入职和补救目的。”(不过,不要忘记,Binance之前提到的数据泄露事件。)

WordPress本身并不坏。问题在于使用它的ICO/STO(证券型代币发行)往往自己处理KYC事务,这使得它们要么容易泄露,要么更可能是钓鱼诈骗。

因此,如果它看起来像是在遵守反洗钱法律,闻起来像是在遵守反洗钱法律,说起来也像是在遵守反洗钱法律……它实际上可能并没有遵守反洗钱法律,你应该做一些尽职调查。

展开阅读全文
更多新闻