日曜日の深夜、Binanceの顧客の個人データがダークウェブで売られていることを示唆するアラートがXに投稿された。取引所はすぐにこの噂を否定した。噂が事実であろうとなかろうと、このような事態に直面した際に守るべきいくつかのセキュリティ・ルールを再認識する良い機会である。
バイナンス、顧客データ流出の噂に対応
日曜日の午後遅く、X otterooooアカウントは、バイナンスの顧客の個人データがダークウェブで売りに出されている可能性があることを示すメッセージを投稿した
。
Binance users KYC data seems to be sold on the dark web now(バイナンスユーザーのKYCデータがダークウェブで販売されているようです。
githubハッキング流出疑惑pic.twitter.com/SPjGQPsIlS
– otteroooo (@otteroooo) 2024年2月4日
。
スクリーンショットが示唆するように、正体不明のフォーラム上のメッセージの著者は、Know Your Customer(KYC)認証を完了したユーザーのデータを販売しているとされている。確認された場合、このデータには住所と電話番号が含まれる。
このメッセージが公表されてから数時間後、バイナンスのサポートチームはこの公表に直接回答し、データが流出したことを明確に否定しました。
「当社のセキュリティチームは、すべての潜在的な脅威と同様に、この件を評価し、バイナンスのシステムにそのような流出がないことを確認しました。ユーザーアカウントは安全なままです。アカウントは多くの防御手段によって保護されています。
これが真実であろうとなかろうと、この噂に乗じていくつかの重要なセキュリティ上の注意を喚起する価値はある。
この話をどう捉えるか
より具体的な情報がない以上、otteroooo氏の主張を肯定することも否定することも難しいが、このような重要な問題で嘘をつくことはバイナンスにとって得策ではないことは指摘しておく価値があるだろう。
しかし、このプラットフォームであろうと他のプラットフォームであろうと、これはあり得るシナリオであり、したがって、独自のリスク管理において考慮する必要がある。
データ流出を裏切る兆候のひとつは、フィッシングメールキャンペーンで、アカウントに問題があると主張し、パスワードを盗んでアカウントにログインするためにパスワードをリセットするよう誘う。
アカウントごとに異なるパスワードを使用することが重要です。また、ほとんどの取引所で「アンチフィッシング・コード」を入力することが可能で、メールを送信する際にこのコードを思い出させ、真正性を証明することができる。
ハッカーが被害者の電話番号を知っている場合、SIMスワップ攻撃が想定される。このようなリスクから身を守るには、Yubicoのような物理的な認証キーや、FIDO U2Fアプリケーションを搭載したLedgerのハードウェアウォレットを使った2要素認証を選ぶべきである。
他のいくつかのプラットフォームと同様に、Binanceはこれらすべてのソリューションを統合し、セキュリティ設定で顧客に提供している。最後に、最も安全な方法は、中央集権的な取引所に存在する資産の量を制限すること、あるいは少なくとも暗号通貨の保管場所を分散することである
。
