Sinasamantala ng mga Magnanakaw ng Pagkakakilanlan ang Proseso ng Pag-setup ng Chivo Bitcoin Wallet ng El Salvador

Noong una, tumanggi si Cynthia Gutierrez na i-download ang Chivo, ang digital wallet na binuo ng gobyerno ng El Salvador para sa paggamit ng Bitcoin sa buong bansa at inilabas noong Setyembre 7.

Nagpasya siyang buksan ang app noong Okt. 16 pagkatapos malaman mula sa mga kapwa Salvadoran na ang mga hacker ay nag-activate ng mga wallet na nauugnay sa siyam na digit na numero sa kanilang mga identity card, na kilala bilang DUI para sa acronym nito sa Spanish.

"Ito ay lumalaki nang higit pa, na umaabot sa aking malapit na bilog," sinabi ni Gutierrez, 28, sa CoinDesk.

Nang ipasok ni Gutierrez ang kanyang personal na impormasyon, may lumabas na screen na nagsasabing ang kanyang numero ng dokumento ay nauugnay na sa isang wallet. Kaagad, kinuha niya ang isang screenshot, sa takot na ang kanyang data ay gagamitin para sa mga bawal na layunin.

Ang kaso ni Gutierrez ay ONE sa daan-daang iniulat ng mga Salvadoran sa social media at sa mga lokal na tagapagtaguyod mula noong Setyembre, nang ang Bitcoin ay itinatag bilang legal na malambot at nagsimulang maging si Chivo. malawakang ginagamit sa bansa.

Sa pagitan ng Oktubre 9 at Oktubre 14, si Cristosal, isang organisasyon ng karapatang Human sa El Salvador, ay nakatanggap ng 755 na abiso ng mga Salvadoran na nag-uulat ng pagnanakaw ng pagkakakilanlan gamit ang kanilang mga Chivo Wallets, sinabi ni Rina Montti, ang direktor ng pananaliksik sa karapatang Human ng grupo, sa CoinDesk.

Sa karamihan ng mga kasong iyon, sinubukan ng mga apektadong Salvadoran na i-activate ang kanilang mga wallet pagkatapos nilang malaman ang malaking bilang ng mga tao na nag-uulat na ang kanilang mga pagkakakilanlan ay ninakaw.

Ang mga hacker ay may insentibo: Ang bawat wallet ay may laman na $30 na halaga ng Bitcoin, na ibinigay ng administrasyon ni Salvadoran President Nayib Bukele upang hikayatin ang mga mamamayan na gamitin ang Cryptocurrency.

Ang gobyerno ng El Salvador ay hindi tumugon sa isang Request para sa komento tungkol sa mga pag-aangkin ng pagnanakaw ng pagkakakilanlan na kinasasangkutan ng mga pitaka sa oras ng press.

Sa pag-ampon ng Bitcoin, inilagay ni Bukele ang kanyang bansa sa Central America sa gitna ng isang pandaigdigang talakayan tungkol sa hinaharap ng pera. Ang proseso ay hindi wala nito mga kritiko, tulad ng mga ginawa laban sa Artikulo 7 ng batas, na nagtatakda na ang lahat ng merchant ay dapat tumanggap ng Bitcoin bilang isang paraan ng pagbabayad kapag inaalok ito ng mga customer.

Ang presidente mamaya tinanggihan na ang pagtanggap ng Bitcoin ay magiging sapilitan. Nataranta ang mga Salvadoran sa pagkakaiba ng sinabi ng pangulo at kung ano ang nakasaad sa batas.

Noong Agosto, mga botohan nagpakita na 65% hanggang 70% ng mga Salvadoran ay sumalungat sa pag-aampon ng Bitcoin, at ilang mga martsa ng protesta ang naganap sa mga lansangan. Ayon sa pinakahuling opisyal data na ibinigay ng Bukele sa katapusan ng Setyembre, mahigit 2 milyong tao ang nag-download ng Chivo Wallet, bilang bahagi ng isang agresibong agenda na kasama rin ang pagmimina ng Bitcoin sa enerhiya ng bulkan.

Madaling lokohin

Ayon sa opisyal na website ng Chivo, ang pagbubukas ng isang account ay nangangailangan ng pag-scan sa harap at likod ng DUI, at pagkatapos ay magsagawa ng facial recognition upang suriin ang pagkakakilanlan ng nagparehistro. Ngunit ilang Salvadorans ang nag-ulat ng ebidensya na ang sistema ay may depekto.

Nang si Adam Flores, isang Salvadoran YouTuber na nagpapatakbo ng channel La Gatada SV, narinig ang tungkol sa mga hack, naalala niya na hindi binuksan ng kanyang lola ang kanyang Chivo Wallet at nagpasya na gamitin ang kaso bilang isang pagsubok. Kahit na mayroon lamang siyang photocopy ng kanyang DUI, sinubukan pa rin niya ito at, sa kanyang pagkamangha, tinanggap ng aplikasyon ang dokumento bilang balido.

Sinundan ni Flores ang proseso ng pag-verify, na pagkatapos ay humingi ng real-time na pagkilala sa mukha. Kinuha ng YouTuber ang isang larawan ng isang poster sa kanyang dingding ni Sarah Connor — isang karakter mula sa serye ng pelikulang "Terminator".

Makalipas ang ilang segundo, tinanggap ni Chivo Wallet ang kanyang lola at inilabas ang $30 na insentibo, ayon sa isang video na ipinadala ni Flores sa CoinDesk bilang ebidensya.

Iba pang mga kaso na-upload sa social media direktang ipinakita kung paanong ang isang random na larawan lamang — sa ONE kaso, ng isang coffee mug — ay sapat na upang palitan ang DUI at pagkatapos ay lokohin ang pagsubok sa pagkilala sa mukha.

Hindi laging sinusubukan ng mga Salvadoran na buksan ang kanilang mga account sa kanilang sarili. Ayon kay Montti, ng Cristosal, karamihan sa 700 Salvadoran na nag-ulat ng pagnanakaw ng pagkakakilanlan ay humiling sa mga kakilala na subukang maglipat ng pera sa pamamagitan ng Chivo sa pamamagitan ng paglalagay ng kanilang mga numero ng DUI sa field ng tatanggap. Natuklasan nilang handa na ang mga address para makatanggap ng mga paglilipat. Sa madaling salita, ang mga numero ng ID ay nairehistro na, ng ibang tao maliban sa nararapat na may-ari.

Nag-aalala tungkol sa pagpapanggap, hiniling ni Ramón Esquivel sa isang kakilala na magpadala ng pera sa isang wallet gamit ang kanyang DUI noong Okt. 11. Nagulat siya, matagumpay ang paglipat, kahit na hindi pa niya na-activate ang kanyang account.

"Sa galit, napagtanto ko na ginamit nila ang aking DUI," sinabi ni Esquivel sa CoinDesk, idinagdag na pagkatapos ng episode ay nagsampa siya ng reklamo sa opisina ng attorney general. "Nalantad ako sa pagiging ginagamit upang gumawa ng mga gawa ng money laundering na irerehistro sa ilalim ng aking pagkakakilanlan, na nakompromiso ang aking integridad," sabi niya.

Ang iba pang mga kaso ay nagpakita na ang mga manloloko ay inilihis ang pera sa mga account na hindi man sa kanila, ngunit sa ibang mga na-hack na tao.

Suporta sa customer

Dalawang linggo na ang nakalipas, sinubukan ni Gabriela Sosa, isang Salvadoran media host, na i-activate ang isang Chivo Wallet gamit ang kanyang DUI, ngunit isang mensahe ng error ang lumabas sa screen na nagpapaalam sa kanya na nakarehistro na ito.

Sa sandaling nangyari ito, tinawagan niya ang opisyal na numero ng suporta para sa Chivo, 192. "Patuloy akong tumatawag nang ilang araw hanggang sa sinabi nila sa akin na kailangan kong pumunta sa isang Chivo point," sinabi ni Sosa sa CoinDesk. Noong nakaraang Sabado, pumunta siya sa help center na iyon at sa wakas ay na-recover ang kanyang account, ngunit ang pera ay hindi.

Sa kanyang Twitter account, inilabas ni Sosa ang mga detalye ng account kung saan itinuro ang $30. Ang pangalan ng may-ari ay Michael Santacruz.

Pagkaraan ng mga araw, nagpadala ang mga katrabaho at kasamahan sa unibersidad ng mga screenshot ng tweet na iyon kay Santacruz, na hindi pa na-activate ang kanyang Chivo account hanggang noon, ayon sa mga pribadong mensahe sa chat na ipinadala niya sa Sosa na nagpost siya.

Pagkatapos, sinubukan niyang buksan ang kanyang account ngunit isang abiso ang nagsabing nakarehistro na ang kanyang DUI. Tulad ng Sosa, lumapit si Santacruz sa isang help center ng Chivo, at pagkatapos mabawi ang kanyang account, napagtanto niya na ginamit ito para makatanggap ng pera mula sa limang na-hack na account, aniya. (Ang mga pagtatangka na maabot ang Santacruz para sa komento ay hindi matagumpay.)

Si Cristosal ay hindi lamang ang nongovernmental organization (NGO) na tumugon sa problema. Ang Acción Ciudadana, isang non-profit na dalubhasa sa social auditing, ay naghain ng paunawa sa Attorney General’s Office (FGR) noong Okt. 12 matapos makita ng Pangulo ng grupo na si Humberto Sáenz at Direktor Eduardo Escobar na nairehistro ng mga hacker ang kanilang Chivo Wallets.

Sinabi ni Acción Ciudadana sa CoinDesk na hanggang ngayon, dalawang linggo pagkatapos ng pag-file, walang tugon mula sa FGR.

Si Laura Nathalie Hernández, isang tech na abogado sa Salvadoran firm na Legal Novis, ay nakatanggap ng mga kahilingan para sa tulong mula sa mga biktima ng pagnanakaw ng pagkakakilanlan tungkol sa kanilang mga Chivo Wallets. Ang unang rekomendasyon na ibinigay niya sa mga apektadong tao ay i-post ang insidente sa social media upang isapubliko ito at maghain din ng ulat sa opisina ng attorney general.

Ayon kay Hernández, ang entity na namamahala sa aplikasyon ang dapat na unang puntahan. "Ngunit T kaming masyadong impormasyon tungkol sa kung sino ang may pananagutan," sabi niya, at idinagdag: "T namin alam kung sino ang namamahala nito, kung may ikatlong kumpanya. Walang transparency."

Hindi malinaw na pananagutan

Ayon sa mga tuntunin at kundisyon ng Chivo, ang awtorisasyon ng isang account ay nakakondisyon sa proseso ng know-your-customer (KYC) na isinagawa ng CHIVO S.A. de C.V., isang pribadong kumpanya nilikha ng gobyerno para ilunsad ang wallet. Ang proseso ng pag-verify na ito ay "kabilang ang pagbibigay ng impormasyon at mga dokumentong kinakailangan para sa ganap na pagsunod sa proseso."

Ang pananagutan ng kumpanya ay hindi malinaw. Ayon sa mga tuntunin at kundisyon, sumasang-ayon ang mga user na "huwag ibunyag o ibunyag sa mga third party ang anumang impormasyon, DUI, password o anumang code na ginamit upang ma-access ang site." Ngunit ang mga tuntunin ay nagsasaad din na ito ay "hindi mananagot para sa anumang pagkawala o pinsala na maaaring maranasan ng user bilang resulta ng hindi awtorisadong pag-access ng third party sa iyong account bilang resulta ng mga hack o nawalang mga password."

Hindi sinagot ng support staff ng Chivo ang mga tanong ng CoinDesk tungkol sa kung sino ang may pananagutan sa isang hack kung saan hindi nagbibigay ng impormasyon ang tunay na may-ari ng account.

Idinagdag ng wallet na ang mga serbisyo sa pag-verify ay direktang ibibigay ng kumpanya at/o sa pamamagitan ng isang third party na kinontrata ng kumpanya para sa naturang layunin. Ngunit sa oras ng press, hindi nito nasagot ang tanong ng CoinDesk tungkol sa kung ano ang ibang third party na nagbibigay ng mga serbisyo ng pagkakakilanlan sa platform.

Sinabi ni Sosa, ang Salvadoran media host, sa CoinDesk na kalaunan ay naibalik niya ang kanyang pera at binigyang-diin na ang kanyang reklamo ay hindi laban sa aplikasyon o sa gobyerno ni Bukele, na gusto lang niyang itaas ang kamalayan sa problema.

Hindi pa nababawi ni Gutierrez ang kanyang pera. "Sinubukan kong makipag-ugnayan sa customer service, at hindi nila ako binigyan ng sagot, o walang institusyon na malinaw tungkol sa prosesong dapat Social Media sa kasong ito," sabi niya.

Sinabi ni Esquivel na hindi siya interesado sa $30 na insentibo o sa app ng gobyerno.

"Kung gagamit man ako ng Bitcoin , ito ay kasama ng isang pitaka kung saan mayroon akong kustodiya ng aking pera," sabi niya.