Pod koniec niedzieli na X pojawił się alert sugerujący, że dane osobowe klientów Binance są sprzedawane w Dark Web. Giełda szybko zaprzeczyła tym pogłoskom. Niezależnie od tego, czy plotki są prawdziwe, czy nie, jest to dobra okazja, aby przypomnieć sobie kilka zasad bezpieczeństwa, których należy przestrzegać w obliczu takiej ewentualności.
Binance odpowiada na pogłoski o wycieku danych klientów
W niedzielę późnym popołudniem konto X otteroooo opublikowało wiadomość wskazującą, że dane osobowe klientów Binance mogą być na sprzedaż w Dark Web:
Dane KYC użytkowników Binance wydają się być teraz na sprzedaż w ciemnej sieci
domniemany wyciek z github hack pic.twitter.com/SPjGQPsIlS
– otteroooo (@otteroooo) February 4, 2024
Jak sugeruje zrzut ekranu, autor wiadomości na niezidentyfikowanym forum rzekomo sprzedaje dane użytkowników, którzy ukończyli weryfikację Know Your Customer (KYC). Jeśli zostanie to potwierdzone, dane te będą obejmować adresy i numery telefonów.
Kilka godzin po opublikowaniu wiadomości, zespół wsparcia Binance odpowiedział bezpośrednio na publikację, kategorycznie zaprzeczając, że jakiekolwiek dane wyciekły:
„Nasz zespół jest zaangażowany w ochronę prywatności naszych klientów.
Nasz zespół ds. bezpieczeństwa ocenił to – podobnie jak wszystkie potencjalne zagrożenia – i potwierdził, że nie ma takiego wycieku w systemach Binance. Konta użytkowników pozostają bezpieczne. Konta są zabezpieczone licznymi mechanizmami obronnymi […]”
Niezależnie od tego, czy jest to prawda, czy nie, warto jednak wykorzystać tę plotkę, aby przypomnieć o kilku ważnych kwestiach bezpieczeństwa.
Co zrobić z tą historią
Chociaż trudno jest potwierdzić lub zaprzeczyć twierdzeniom otteroooo przy braku bardziej konkretnych informacji, warto zauważyć, że kłamstwo w tak ważnej kwestii nie leżałoby w interesie Binance.
Niemniej jednak, czy to w przypadku tej platformy, czy jakiejkolwiek innej, jest to prawdopodobny scenariusz i dlatego konieczne jest uwzględnienie go we własnym zarządzaniu ryzykiem.
Jedną z oznak, które mogą zdradzać wyciek danych, byłaby kampania phishingowa e-mail, twierdząca o rzekomym problemie z kontem i zachęcająca do zresetowania hasła w celu jego kradzieży i zalogowania się na konto.
Ważne jest, aby używać innego hasła dla każdego konta. Możliwe jest również wprowadzenie „kodu antyphishingowego” na większości giełd, aby przypominały one o tym kodzie podczas wysyłania wiadomości e-mail w celu potwierdzenia ich autentyczności.
Jeśli haker posiada numer telefonu ofiary, można przewidzieć atak polegający na podmianie karty SIM. Aby zabezpieczyć się przed takim ryzykiem, należy zdecydować się na uwierzytelnianie dwuskładnikowe przy użyciu fizycznego klucza weryfikacyjnego, takiego jak te od Yubico, lub portfela sprzętowego Ledger z aplikacją FIDO U2F.
Podobnie jak kilka innych platform, Binance integruje wszystkie te rozwiązania i oferuje je swoim klientom w ustawieniach bezpieczeństwa.
Wreszcie, najbezpieczniejszą rzeczą do zrobienia jest również ograniczenie ilości aktywów obecnych na scentralizowanych giełdach lub przynajmniej dywersyfikacja miejsca przechowywania kryptowalut
