BlockFi mengungkapkan pelanggaran data yang berpotensi membocorkan alamat fisik dan aktivitas akun pelanggannya, menyoroti risiko platform keuangan KYC.
Penyedia pinjaman Crypto, BlockFi melaporkan pada hari Selasa bahwa mereka mengalami pelanggaran data yang dapat menempatkan beberapa kliennya dalam bahaya fisik.
Menurut laporan kejadiannya, beberapa data klien perusahaan dilanggar melalui serangan pertukaran kartu SIM yang dilakukan pada salah satu karyawannya.
Penyerang berhasil mencuri akun email dan nomor telepon yang digunakan untuk prosedur verifikasi akun karyawan, yang memungkinkan mereka untuk mengakses catatan BlockFi.
Serangan pertukaran SIM adalah hasil dari kerentanan operator jaringan dan biasanya dilakukan melalui konspirator dengan akses ke peralatan jaringan telepon – meskipun teknik intrusi eksternal juga dimungkinkan. Jenis serangan ini adalah biang keladi di balik beberapa pencurian pertukaran profil tinggi, tetapi mereka biasanya menargetkan klien sendiri.
Para penyerang diduga berusaha untuk menarik dana pelanggan secara langsung, tetapi upaya itu tidak berhasil, kata BlockFi.
Namun demikian, para penyerang memiliki akses penuh ke data pelanggan yang digunakan sebagai bagian dari upaya pemasaran BlockFi.
Perusahaan menekankan bahwa tidak ada “informasi identifikasi non-publik” yang bocor, yang akan mencakup nomor rekening bank, kata sandi atau nomor jaminan sosial.
Namun, peretas mendapatkan akses ke nama lengkap pelanggan, alamat email, tanggal lahir dan terutama, informasi aktivitas dan alamat fisik.
Bisakah para korban diperas secara fisik?
BlockFi menegaskan bahwa tidak ada ancaman terhadap dana BlockFi pelanggan, menulis, “Karena sifat informasi yang bocor, kami tidak percaya ada risiko langsung terhadap klien BlockFi atau dana perusahaan.”
Namun, alamat rumah dan data aktivitas dapat membuat pengguna yang terkena dampak pemerasan dan pencurian fisik.
BlockFi tidak mengungkapkan jenis data aktivitas apa yang termasuk dalam database ini dan menolak menjawab pertanyaan Cointelegraph tentang masalah tersebut, merujuk pada laporan insiden untuk semua informasi.
Seorang juru bicara yang tidak disebutkan namanya hanya menambahkan bahwa “kami belum menerima indikasi lebih lanjut bahwa pihak ketiga yang tidak sah telah merusak informasi yang diakses saat ini.”
Namun demikian, mudah untuk percaya bahwa hanya dengan membaca data aktivitas akan memungkinkan penyerang mengetahui ukuran akun klien dan janji jaminan. Jenis data ini sangat penting untuk setiap kampanye pemasaran terarah.
Selain itu, kebijakan privasi BlockFi secara eksplisit menyatakan bahwa informasi ini tersedia untuk penggunaan pemasaran:
“Kami dapat menggunakan informasi pribadi Anda dan informasi tentang bagaimana Anda menggunakan layanan kami untuk mengirim informasi promosi dan lainnya kepada Anda. Kami juga dapat menggunakan informasi pribadi Anda untuk melakukan analisis mengenai penggunaan Anda atas layanan dan produk kami dan efektivitas inisiatif pemasaran kami. “
Koneksi antara alamat rumah, aktivitas pelanggan pada platform dan data identifikasi mereka dapat memungkinkan para penjahat untuk secara tepat menargetkan para korban serangan ini untuk memeras mereka keluar dari cryptocurrency mereka.
Pencurian semacam ini bukan tidak pernah terjadi, karena seorang pria Singapura dilaporkan diculik pada bulan Januari dan dipaksa untuk mentransfer mata uang kripto yang dimilikinya.
Kasus serupa dilaporkan pada tahun 2017, terutama penculikan direktur pertukaran crypto Exmo di Ukraina. India juga dilaporkan memiliki beberapa kasus serupa tahun itu.
Kasus untuk keuangan anonim
Pengembang inti Ethereum menggunakan kesempatan itu untuk memuji anonimitas keuangan terdesentralisasi berbasis blockchain, dengan mengatakan “akankah para penentang akhirnya mulai memahami titik DeFi pada Ethereum?”
Sementara DeFi membawa serangkaian risiko yang berbeda, konsekuensi dari pelanggaran data pada platform terpusat yang menyimpan data Know Your Customer dapat menjadi bencana besar.
