نشت اطلاعات حساس و ارزشمند کاربران صرافی رمزارز ایرانی BIT24.CASH و انتشار بیانیه توسط صرافی بیت24
اخبار داغ فناوری اطلاعات و امنیت شبکه
در تحقیقات سایبرنیوز فاش شده است که Bit24.Cash به طور ناخواسته اطلاعات حساس نزدیک به ٢٣٠٠٠٠ کاربر را افشا کرده است.
به دلیل دسترسی محدود به بازارهای مالی خارجی، ایران به طور قابل توجهی از ارزهای دیجیتال استقبال کرده است. سال گذشته، صرافیهای رمزارز ایران، تراکنشهایی را که در مجموع نزدیک به سه میلیارد دلار بود، تسهیل کردند. تقریبا تمام حجم ارزهای دیجیتال ورودی در ایران به اصل «احراز هویت رسمی کاربران» (KYC) پایبند است.
مجموعه Bit24.Cash، صرافی رمزارز ایرانی که بیش از ٣٠٠ کوین و توکن را پشتیبانی میکند، از این قاعده مستثنی نیست. در طول فرآیند KYC که هدف آن محدود کردن فعالیتهای مجرمانه است، کاربران باید هویت خود را با بارگذاری اسناد رسمی تایید کنند. با توجه به ماهیت حساس این اسناد به اشتراک گذاشته شده با صرافیها، کاربران بهحق از سازمانها انتظار دارند که از اطلاعات آنها به طور ایمن محافظت کنند.
بااینحال، محققان Cybernews یک نمونه MinIO (یک سیستم ذخیرهسازی اشیاء با کارایی بالا) با پیکربندی نادرست را کشف کردند که سهوا به باکتهای S3 (کانتینرهای ذخیرهسازی ابری) حاوی دادههای KYC پلت فرم دسترسی پیدا کرده است.
این پیکربندی نادرست حدود ٢٣٠٠٠٠ شهروند ایرانی را به خطر انداخته و رضایتنامه کتبی امضا شده آنها را در کنار گذرنامه، شناسنامه و کارت بانکی در معرض خطر قرار داده است.
طی تماسی که با این شرکت گرفته تا زمان انتشار این خبر پاسخی دریافت نشده است. نمونه این اطلاعات نیز از آن زمان در شرایطی ایمن قرارگرفته و دیگر در دسترس نیست.
محققان سایبرنیوز بر ماهیت حیاتی دادههای تایید KYC به خطر افتاده در پلتفرمهای مبادله ارزهای دیجیتال تاکید ویژهای دارند.
همچنین طی ساعات گذشته، صرافی بیت 24 بیانیه رسمی در مورد نشت اطلاعات کاربران منتشر نموده است:
«بیانیه رسمی بیت۲۴ در ارتباط با خبر نشت تصاویر احراز هویت کاربران»
با توجه به ادعای منتشر شده در وبسایت سایبرنیوز، مبنی بر نشت داده ها در bit24.cash، بر خود لازم دانستیم توضیحاتی را از طریق این بیانیه به صورت شفاف ارائه کرده و پاسخگوی نگرانی کاربران خود باشیم.
روز یکشنبه هفدهم آذر ماه خبری در وبسایت Cybernews مبنی بر نشت اطلاعاتی مرتبط با تصاویر احراز هویت کاربران صرافی بیت۲۴ منتشر شد و همکاران فنی ما بلافاصله این موضوع را در دست بررسی قرار دادند.
تیم فنی ما پس از بررسی دقیق، ادعاهای مطرح شده را به دلایلی که در ادامه اشاره میشود، نادرست و گمراه کننده تشخیص داد.در تحقیقات ما و بررسی لاگ سیستم؛ هیچ مدرکی مبنی بر نقض داده یا دسترسی غیرمجاز به اطلاعات حساس کاربر یافت نشد.
در مقاله مذکور اشاره به یک نمونه MinIO با پیکربندی نادرست که اجازه دسترسی به باکت های S3 حاوی داده های KYC را میدهد، کاملاً نادرست است و با معماری سیستم یا پروتکلهای امنیتی ما همخوانی ندارد.
تیم فنی ما میتواند تأیید کند که راه اندازی MinIO ما امن بوده و هیچگونه دسترسی غیرمجاز به هیچیک از داده های حساس کاربر وجود نداشته است.
همچنین لازم به ذکر است دیتایی که سایبرنیوز ادعا میکند هیچ ارتباطی با دیتای حساس کاربران ندارد و دارایی کاربران در بالاترین سطح امنیتی در بیت۲۴ محفوظ است.
تیم ما ضمن پذیرش و درک نگرانی کاربران و عموم مردم، تقاضا دارد اطلاعات و اخبار دقیق را از منابع معتبر دنبال کرده و آخرین اخبار رسمی را از وبسایت و کانال های رسمی بیت۲۴ پیگیری کنند.ما همچنان متعهد به رعایت بالاترین استانداردهای امنیت و محرمانگی هستیم.
برای هر گونه نگرانی یا سؤال در مورد امنیت یا داده های کاربر، لطفاً با تیم پشتیبانی اختصاصی ما به آدرس این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید تماس بگیرید.
برچسب ها: MinIO, Passport, گذرنامه, S3 Bucket, Know Your Customer, KYC, Coin, Bit24, Bit24.Cash, نشت, Container, Token, صرافی, Crypto, Leak, Iran, Exchange, رمزارز, ایران, cryptocurrency, Cyber Security, جاسوسی سایبری, ارز دیجیتال, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news