Una extorsión que salió mal: Las negociaciones de Binance con su filtrador de KYC

La comida para llevar

• Antes de publicar detalles sobre clientes reales de Binance en línea el miércoles, un pirata informático que opera bajo el seudónimo “Bnatov Platón" Tuve una conversación que duró un mes con los periodistas de CoinDesk .
• En las conversaciones, Platon reveló cómo supuestamente hackeó a individuos que estaban detrás de un hackeo anterior en el que se robaron 7.000 Bitcoin del exchange más grande del mundo.
• Platon afirmó que sus objetivos eran altruistas y que simplemente quería revelar la identidad de los hackers ante la justicia. Sin embargo, parece que también pidió dinero a cambio de la promesa de no divulgar los datos de los clientes de Binance.
• Platon y Binance sostuvieron numerosas conversaciones y, según se informa, llegaron a un acuerdo que posteriormente fue cancelado. CoinDesk ha obtenido las transcripciones completas de estas conversaciones.

En lo que parece ser un elaborado juego de hackers que hackean a hackers, un individuo que opera bajo el seudónimo "Bnatov Platon" ha proporcionado a CoinDesk información extensa sobre sus intentos de obtener millones de dólares a cambio de negarse a divulgar información sobre los clientes de ONE de los intercambios de Criptomonedas más grandes del mundo, Binance.

La información sobre el hack, recopilada durante un mes de interacción con el hacker, salió a la luz pública hoy cuando Platon comenzó a publicar lo que supuestamente eran imágenes e información sobre clientes reales de Binance, primero en un sitio web abierto y luego en Telegram.

La idea de que la información de los clientes podría no estar segura en la bolsa de valores más grande del mundo fue suficiente para captar de inmediato la atención de la industria, y los principales sitios web de noticias y los influencers de Twitter difundieron rápidamente la noticia.

Sin embargo, la historia completa fue –y sigue siendo– más complicada de lo que parecía en un principio.

En primer lugar, tiene raíces profundas, que se remontan a un incidente ocurrido en mayo, cuando un grupo externo irrumpió en las cuentas de usuarios de Binance y robó 7000 Bitcoin. En aquel momento, Binance, como siempre, hizo públicos sus problemas, describiéndolos como parte de una "brecha de seguridad a gran escala" en la que "los hackers lograron obtener una gran cantidad de claves API de usuarios, códigos de 2FA y posiblemente otra información".

Sin embargo, no se mencionó que es posible que se hayan filtrado datos de identificación del usuario.

Es durante este evento que Platon alega que se produjo la información que obtuvieron sobre los clientes de Binance, aunque en un giro, dice que no fue el autor del hackeo, sino que hackeó a un “insider” del exchange involucrado en el atraco.

En otra ocasión, Binance alega que los datos de los clientes se obtuvieron de una empresa externa anónima que había contratado para realizar su proceso de conozca a su cliente (KYC) desde febrero de 2018.

Además, CoinDesk ha confirmado que al menos dos de los cientos de perfiles filtrados pertenecen a clientes reales que proporcionaron información de identificación al exchange. Una de las imágenes que analizamos parecía haber sido manipulada, pero la persona cuya identidad aparecía en ella confirmó que había creado una cuenta en Binance en la época de las filtraciones.

En conversaciones con CoinDesk, Platon afirmó ser un "hacker de sombrero blanco" y, en algunos comentarios, sugirió que solicitaban a Binance una recompensa por errores por exponer la información. Sin embargo, las negociaciones fracasaron, y Platon y representantes de Binance informaron que solicitó 300 Bitcoin para ampliar la información que poseía.

En un comunicado, Binance respondió al “miedo, la incertidumbre y la duda” que generó la noticia:

Nos gustaría informarles que un individuo no identificado nos ha amenazado y acosado, exigiendo 300 BTC a cambio de retener 10,000 fotos similares a los datos KYC de Binance. Seguimos investigando este caso para determinar su legitimidad y relevancia.

Nos hemos puesto en contacto con Binance para solicitar más comentarios.

Platon afirma que tiene 60.000 piezas de información KYC en su colección.

Lo que sigue es lo que sabemos sobre las negociaciones y sus consecuencias.

Mover dinero

La interacción de CoinDesk con Platon comenzó en julio, cuando empezamos a informar sobre el movimiento de bitcoins robados en la violación de Binance de mayo.

Binance respondió al hackeo en ese momento, diciendo que actores maliciosos adquirieron las API de los clientes, códigos de dos factores y "posiblemente otra información".

La interpretación de Platon sobre el incidente fue diferente. Afirman que una persona dentro de la organización ayudó a publicar varias API que permitieron a los hackers acceder directamente a las cuentas de los clientes. Los hackers almacenaron listas de claves API de clientes (los códigos utilizados para acceder a sus cuentas remotamente) en archivos de texto que Platon afirmó haber podido obtener. Esto les permitió acceder a los fondos de forma remota.

Los archivos también contienen información extremadamente importante, como las direcciones de correo electrónico y las contraseñas de las cuentas de los clientes, afirmó Platon. Los clientes en riesgo abrieron cuentas en Binance entre 2018 y 2019.

Con esta información personal, los hackers crearon un script malicioso que les permitía retirar instantáneamente 0,002 BTC (aproximadamente 23 $) a la vez. El código creó una orden de compra para un token desconocido llamado Protocolo de Crédito BlockMason y lo convirtió a Bitcoin. El código, que hemos examinado, también podía realizar diversas funciones mediante llamadas a la API que ya no están abiertas ni son públicas. Sin embargo, cuando probamos una llamada a la API (una simple Request de la hora del servidor), seguía abierta. No está claro si los endpoints de la API cerrados se eliminaron o simplemente se ocultaron.

Platon afirma que las monedas robadas estaban guardadas en una billetera alojada por el proveedor de billeteras de software de Bitcoin Blockchain, el Maker del intercambio PIT lanzado recientemente.

Siguiendo un rastro que partía de esta billetera, Platon descubrió que los piratas informáticos habían lavado 2.000 bitcoins a través de Bitmex, Yobit, KuCoin y Huobi y buscaban convertir hasta 1 millón de dólares en Bitcoin por día.

Cómo funcionó

De las 60.000 cuentas de clientes que Platon alega fueron vulneradas, compartió 636 archivos con CoinDesk. Esperaba que la atención mediática impulsara a Binance a anunciar el verdadero alcance del hackeo y llevar a los atacantes ante la justicia.

Por su parte, Binance anunció que los Bitcoin robados provenían únicamente de sus cuentas corporativas y no afectaban a los consumidores. En ese momento, la plataforma también suspendió los depósitos y retiros para proteger a los usuarios. Sin embargo, el alcance de la información filtrada de los usuarios se mantuvo en Secret.

Además de imágenes de pasaportes, licencias de conducir y fotografías reales de usuarios sosteniendo sus identificaciones, Platon también proporcionó algunos ejemplos de metadatos asociados con las imágenes.

Por ejemplo, este código sugiere que un usuario realizó el proceso KYC el 20/03/2018:

"ID": 1573211, "userId": "25276308","frontal": "/IDS_IMG20180320/25276308_0_9416819.jpg","posterior": "/IDS_IMG20180320/25276308_1_7376587.jpg","mano": "/IDS_IMG20180320/25276308_2_4413070.jpg","auditor": "chenxiaozi","mensaje": "","estado": 1, "createTime": "2018-03-20 08:12:33","updateTime": "2018-03-21 01:48:33","number": "s532557730580","firstName": "m[CENSURADO]","apellido": "[CENSURADO]","tipo": 2,"sexo": 1,"país": "Estados Unidos de América (EE. UU.) (Estados Unidos)","correo electrónico": "[CENSURADO]@outlook.com","versión": 1

El KYC se realizó en China, como lo sugiere el nombre del auditor y la adición de "美国" al final del código de país. No está claro qué representan los demás campos.

Además, Platon envió a CoinDesk un código que, según él, permitía acceder a una puerta trasera instalada en los servidores de Binance por un usuario interno. El análisis del código sugiere que Platon tiene razón.

"Es muy probable que se trate de un ataque a la clave API", dijo Viktor Shpak, director de tecnología de la empresa de desarrollo de blockchain.Magia visible“Obtuvieron claves API de algún sitio”.

Las claves API se utilizan para autenticar servicios dentro de los intercambios y otras aplicaciones y podrían permitir a un pirata informático hacer cualquier cosa, desde comprar Criptomonedas en nombre de una víctima hasta mover Criptomonedas a una billetera externa.

Shpak dijo que el código en particular sugiere una puerta trasera dentro de Binance, aunque CoinDesk no pudo verificar de forma independiente el acceso a través de esta función y la clave API asociada.

público estático String getApiKey(String uri, String userId) {  String tiempo = "";  tiempo = obtener("https://www.binance.com/api/v1/time");  Mapa<String, String> parámetro = nuevo HashMap<String, String>();  parámetro.put("userId", userId);  parámetro.put("desc", "api" + JSON.parseObject(time).getString("serverTime"));  devolver publicación(uri + "/exchange/mgmt/account/getApiKey", parámetro);  }

"Lo más probable es que alguien interno haya creado un controlador para obtener acceso a las claves API de los usuarios, luego recopiló esas claves API, obtuvo acceso a los datos de los usuarios y creó un buen conjunto de herramientas para solucionar esto", dijo.

Sin embargo, al ser confrontado con esta información en ese momento, un representante de Binance dijo: "Según lo último que ha informado el equipo, actualmente no hay evidencia de que estas sean imágenes KYC de Binance y no tienen marca de agua según nuestro proceso del sistema".

La motivación de Platón

Mientras hablaba con CoinDesk, Platon también se comunicó con el director de crecimiento (CGO) de Binance, Ted Lin, como parte de un esfuerzo de múltiples frentes para llevar a los piratas informáticos ante la justicia (o eso afirma).

"Personalmente, quería que Binance fuera el primer exchange del mundo que capturara a los hackers. Será sumamente positivo para la reputación de Binance", dijo Planton, quien añadió:

Le informé a Lin que tengo información privilegiada, como detalles de sus comunicaciones con personas externas e incluso su foto. Le informé que tengo datos de los hackers: información del servidor, su identidad, sus números de teléfono, ETC

En un mensaje de Lin que Platon compartió con CoinDesk, el CGO se mostró receptivo a pagar por información que pudiera conducir al arresto de los piratas informáticos, los informantes y la recuperación de fondos.

Sin embargo, en este mismo mensaje, Lin criticó a Platon por la “campaña FUD” que estaba llevando a cabo.

"Como dije, no reaccionamos ante las extorsiones", afirmó Lin. En conversaciones anteriores con CoinDesk, Platon afirmó ser rico e independiente, y el operador de una plataforma de intercambio de Cripto que, según él, tiene un tercio del tamaño de Binance.

También dijo que no le interesaba la remuneración financiera. "Cuando necesito dinero, simplemente puedo hackear el saldo de una cuenta de intercambio (del hacker). Podría recuperar más de 600 o 700 monedas fácilmente hackeando la billetera del hacker", dijo Platon.

"Pero no toqué ni un solo centavo mientras veía cómo más y más monedas eran lavadas y movidas para eliminar el rastro", dijo, afirmando que no quería avisar a los piratas informáticos de que estaba tras su rastro.

La conversación se rompe

A pesar de los supuestos objetivos altruistas de Platon, CoinDesk se enteró más tarde por Platon y funcionarios de Binance que el supuesto hacker de sombrero blanco estaba solicitando 300 Bitcoin, alrededor de 3 millones de dólares al tipo de cambio de julio, pagados en 50 cuotas por su información.

Sin embargo, en algún momento, las negociaciones fracasaron. El 22 de julio, apenas cinco días después de contactar inicialmente con CoinDesk, Platon anunció que había dejado de negociar con Binance.

“Durante casi un mes de negociación, no me pagaron ni un centavo”, dijo Platon. “Mi acuerdo con Binance está roto”.

Fue entonces cuando las conversaciones de Platon con Binance degeneraron en una negociación de rehenes, con Platon amenazando con arrojar cualquier información de clientes que hubiera adquirido.

Platon proporcionó el siguiente supuesto intercambio con Ted Lin donde las negociaciones fracasaron:

Ted Lin, [20.07.19 19:54]Veo que ya le diste la información a los medios.Ted Lin, [20.07.19 19:59]



Dado que el daño de su campaña de FUD ya está hecho, cualquier recompensa que pidiera por la información sería significativamente menor. Como dije, no reaccionamos ante extorsiones. Pero estamos dispuestos a obtener más información sobre los perpetradores si tiene información útil que nos permita poner a los delincuentes tras las rejas y recuperar fondos.




Platón, [21.07.19 16:53]



Como dije, no necesito tu dinero.




Platón, [21.07.19 16:53]Ya no tengo trato.

Platón, [21.07.19 16:54]Yo tampoco espero que reacciones.Platón, [21.07.19 16:59]Pero me encanta ver la reacción de los expertos y los hackers cuando se publican noticias. Una vez más, no me interesa su reacción.Ted Lin, [21.07.19 19:04]¿Creía que querías ver a esos hackers atrapados?Platón, [21.07.19 19:11]Quería. Pero ahora no.Platón, [21.07.19 19:12]



Prefiero alejarme y KEEP observando.




Ted Lin, [21.07.19 19:19]Seguimos interesados en pagar por información que pueda conducir al arresto de hackers y personas con información privilegiada, así como a la recuperación de fondos.

Ted Lin, [21.07.19 19:19]Avísanos si tienes más información que pueda ayudarte a conseguirlo.

Ted Lin, [21.07.19 19:20]Estábamos verificando el tipo de información que tienes antes de que decidieras no hablar.

Ted Lin, [21.07.19 19:21]Avísame si cambias de opinión y quieres continuar.

Ted Lin, [21.07.19 19:21]



Gracias por tu ayuda.



Platón, [21.07.19 19:28]Entonces págame.

“Mi decisión de negociar con Binance fue errónea”, dijo. “No son las personas adecuadas… así que simplemente publicaré todos los datos para sus clientes”.

De hecho, al hablar con un representante de Binance el 22 de julio, Platon comentó: «Actualmente me interesan los hackers y personas con información privilegiada de su empresa. Me encantaría ver su reacción cuando se publique la noticia».

El 5 de agosto, las amenazas de Platon se hicieron realidad, cuando subió un volcado de documentos que contenía un total de 500 fotos para KYC de 166 personas a un sitio abierto de intercambio de archivos, bajo el seudónimo "Guardian M".

A esto le siguió un segundo envío de cientos de imágenes de personas sosteniendo sus identificaciones a un grupo de Telegram el miércoles por la mañana.

La explicación de Platón es sencilla: creen que están haciendo lo correcto.

La gente no KEEP de preguntar: "¿Por qué publicas esas fotos de KYC?", "¿Cómo las conseguiste?". La razón por la que publico esas fotos de KYC es simple: para advertir a quienes operan en Binance", escribieron. "Si necesitara dinero, lo vendería clandestinamente, no para publicarlo".

Imagen vía Twitter. Imagen de encabezado e imágenes internas vía CoinDesk.

Platon no ha respondido a las solicitudes de comentarios adicionales y no ha indicado si publicará más. Nos hemos puesto en contacto con Binance para obtener comentarios. John Biggs ha proporcionado asistencia comercial y de marketing a Viktor Shpak de VisibleMagic, el desarrollador que analizó el código de Binance.