Isang Pangingikil ang Naging Masama: Sa Loob ng mga Negosasyon ng Binance Sa 'KYC Leaker' Nito

Ang Takeaway

• Bago mag-publish ng mga detalye tungkol sa mga tunay na customer ng Binance online Miyerkules, isang hacker na tumatakbo sa ilalim ng pseudonym na “Bnatov Platon” ay nagkaroon ng isang buwang pakikipag-usap sa mga reporter ng CoinDesk .
• Sa mga pag-uusap, ibinunyag ni Platon kung paano niya diumano'y na-hack ang mga indibidwal sa likod ng isang naunang hack kung saan ninakaw ang 7,000 Bitcoin mula sa pinakamalaking exchange sa mundo.
• Sinabi ni Platon na ang kanyang mga layunin ay altruistic, at gusto lang niyang dalhin ang pagkakakilanlan ng mga hacker sa hustisya. Gayunpaman, lumilitaw na epektibo rin siyang humingi ng pera kapalit ng mga pangakong hindi niya ilalabas ang data ng customer ng Binance.
• Si Platon at Binance ay magsasagawa ng maraming pag-uusap, at iniulat na nakipag-deal na kalaunan ay na-abort. Ang CoinDesk ay nakakuha ng buong transcript ng mga pag-uusap na ito.

Sa tila isang detalyadong laro ng mga hacker na nagha-hack ng mga hacker, isang indibidwal na nagpapatakbo sa ilalim ng pseudonym na “Bnatov Platon” ay nagbigay sa CoinDesk ng malawak na impormasyon tungkol sa kanilang mga pagtatangka na makakuha ng milyun-milyong dolyar kapalit ng pagtanggi na maglabas ng impormasyon tungkol sa mga customer ng ONE sa pinakamalaking palitan ng Cryptocurrency sa mundo, ang Binance.

Ang impormasyon tungkol sa hack, na nakalap sa loob ng isang buwang pakikipag-ugnayan sa hacker, ay itinulak sa mata ng publiko ngayon nang magsimulang mag-post si Platon ng sinasabi niyang mga larawan at impormasyon tungkol sa mga tunay na customer ng Binance, una sa isang bukas na website at pagkatapos ay sa Telegram.

Ang ideya na ang impormasyon ng customer ay maaaring hindi ligtas sa pinakamalaking palitan sa mundo ay sapat na upang agad na mapukaw ang atensyon ng industriya, na may mga pangunahing website ng balita at mga influencer sa Twitter na mabilis na nagbo-broadcast ng balita.

Gayunpaman, ang buong kuwento ay - at nananatiling - mas kumplikado kaysa sa unang lumitaw.

Una, ito ay may malalim na ugat, na umaabot pabalik sa isang insidente noong Mayo nang ang isang labas na grupo ay pumasok sa mga user account ng Binance at nagnakaw ng 7,000 Bitcoin. Noong panahong iyon, ang Binance ay, gaya ng dati, pampubliko tungkol sa mga problema nito, na inilalarawan ito bilang bahagi ng isang "malakihang paglabag sa seguridad" kung saan "nakuha ng mga hacker ang isang malaking bilang ng mga user API key, 2FA code at posibleng iba pang impormasyon."

Hindi binanggit, gayunpaman, ay maaaring na-leak ang pagtukoy sa impormasyon ng user.

Sa panahon ng kaganapang ito, sinabi ni Platon na ginawa ang impormasyong nakuha nila tungkol sa mga customer ng Binance, bagama't sa isang twist, sinabi niyang hindi siya ang may gawa ng hack, ngunit na-hack niya ang isang exchange "insider" na kasangkot sa heist.

Sa isa pang pagkakataon, sinasabi ng Binance na ang data ng customer ay nakuha mula sa isang hindi pinangalanang third-party na kumpanya na kinontrata nito para magsagawa ng know-your-customer (KYC) nito mula noong Pebrero 2018.

Dagdag pa, kinumpirma ng CoinDesk na hindi bababa sa dalawa sa daan-daang profile na na-leak ay pagmamay-ari ng mga tunay na customer na nagbigay ng impormasyong nagpapakilala sa exchange. Ang ONE sa mga larawan na aming sinuri ay tila nadoktor ngunit ang taong may pagkakakilanlan na lumitaw sa larawan ay nakumpirma na siya ay lumikha ng isang Binance account sa panahon ng mga pagtagas.

Sa mga pakikipag-usap sa CoinDesk, sinabi ni Platon na isa silang "white hat hacker" at, sa ilang komento, iminungkahi nila na humihingi sila sa Binance ng bug bounty para sa paglalantad ng impormasyon. Nasira ang mga negosasyon, gayunpaman, at iniulat ng mga kinatawan ng Platon at Binance na humingi siya ng 300 Bitcoin upang higit pang mapalawak ang data na hawak niya.

Sa isang pahayag, tumugon si Binance sa "takot, kawalan ng katiyakan, at pagdududa" na inilabas ng balita:

"Nais naming ipaalam sa iyo na ang isang hindi kilalang indibidwal ay nagbanta at nang-harass sa amin, na humihingi ng 300 BTC kapalit ng pagpigil ng 10,000 mga larawan na may pagkakatulad sa data ng Binance KYC. Iniimbestigahan pa rin namin ang kasong ito para sa pagiging lehitimo at kaugnayan."

Nakipag-ugnayan kami sa Binance para sa karagdagang komento.

Sinasabi ni Platon na mayroon silang 60,000 piraso ng impormasyon ng KYC sa kanyang koleksyon.

Ang sumusunod ay kung ano ang alam natin tungkol sa mga negosasyon at ang mga resulta nito.

Paglilipat ng Pera

Ang pakikipag-ugnayan ng CoinDesk sa Platon ay unang nagsimula noong Hulyo, nang magsimula kaming mag-ulat tungkol sa paggalaw ng mga bitcoin na ninakaw noong Mayo na paglabag sa Binance.

Tumugon si Binance sa pag-hack noong panahong iyon, na nagsasabing ang mga malisyosong aktor ay nakakuha ng mga API, dalawang-factor na code, at "malamang na iba pang impormasyon."

Iba ang pananaw ni Platon sa pangyayari. Sinasabi nila na ang isang tagaloob sa loob ng organisasyon ay tumulong na gawing pampubliko ang ilang API na nagpapahintulot sa mga hacker na direktang ma-access ang mga account ng kliyente. Ang mga hacker ay nag-imbak ng mga listahan ng mga client API key - ang mga code na ginamit upang ma-access ang kanilang mga account nang malayuan - sa mga text file na inaangkin ni Platon na maaaring makuha. Pinayagan nito ang mga hacker na ma-access ang mga pondo nang malayuan.

Ang mga file ay "naglalaman din ng napakaseryosong impormasyon" kabilang ang mga email address at password ng account ng mga customer, sabi ni Platon. Ang mga customer na nasa panganib ay nagbukas ng mga account sa Binance sa pagitan ng 2018 at 2019.

Gamit ang personal na impormasyong ito, sumulat ang mga hacker ng malisyosong script na nagpapahintulot sa kanila na agad na mag-withdraw ng .002 BTC (humigit-kumulang $23) sa isang pagkakataon. Ang code ay naglagay ng buy order para sa isang hindi malinaw na token na tinatawag na BlockMason Credit Protocol at na-convert ito sa Bitcoin. Ang code, na aming napagmasdan, ay maaari ding magsagawa ng ilang mga function gamit ang mga tawag sa API na hindi na bukas o pampubliko. Nang sinubukan namin ang ONE tawag sa API, gayunpaman, isang simpleng Request para sa oras ng server, bukas pa rin ito. Hindi malinaw kung inalis o itinago lang ang mga saradong API endpoint.

Sinasabi ni Platon na ang mga ninakaw na barya ay inilagay sa isang wallet na hino-host ng Bitcoin software wallet provider na Blockchain, ang Maker ng kamakailang inilunsad na PIT exchange.

Sa pamamagitan ng pagsunod sa isang trail na humahantong mula sa wallet na ito, natuklasan ni Platon na ang mga hacker ay naglaba ng 2,000 bitcoins kahit na Bitmex, Yobit, KuCoin, at Huobi at naghahanap upang mag-convert ng hanggang $1 milyon sa Bitcoin bawat araw.

Paano Ito Nagtrabaho

Sa 60,000 account ng customer na sinasabi ni Platon ay nilabag, nagbahagi siya ng 636 na file sa CoinDesk. Inaasahan niya na ang atensyon ng media ay mag-udyok kay Binance na ipahayag ang tunay na lawak ng hack, at dalhin ang mga umaatake sa hustisya.

Sa bahagi nito, inihayag ng Binance na ang ninakaw na Bitcoin ay nagmula lamang sa kanilang mga corporate account at hindi nakaapekto sa mga mamimili. Noong panahong iyon, sinuspinde rin ng exchange ang mga deposito at pag-withdraw upang protektahan ang mga user. Gayunpaman, pinananatiling Secret ang lawak ng na-leak na impormasyon ng user .

Bilang karagdagan sa mga larawan ng mga pasaporte, lisensya sa pagmamaneho at aktwal na mga headshot ng mga user na may hawak ng kanilang mga ID, nagbigay din si Platon ng ilang halimbawa ng metadata na nauugnay sa mga larawan.

Halimbawa, iminumungkahi ng code na ito na dumaan ang isang user sa KYC noong 03/20/2018:

"ID": 1573211,"userId": "25276308","front": "/IDS_IMG20180320/25276308_0_9416819.jpg":likod": "/IDS_IMG20180320/IDS_IMG20180320" "/IDS_IMG20180320/25276308_2_4413070.jpg","auditor": "chenxiaozi","message": "","status": 1,"createTime": "2018-03-20 08:12:33"-2018Oras ng pag-update: "32:33"-2018 Oras 01:48:33","number": "s532557730580","firstName": "m[REDACTED]","lastName": "[REDACTED]","type": 2,"sex": 1,"country": "United States of America (USA)（mail"美国（美国（美国） "[REDACTED]@outlook.com","bersyon": 1

Naganap ang KYC sa China ayon sa iminungkahi ng pangalan ng auditor pati na rin ang pagdaragdag ng “美国” sa dulo ng country code. Hindi malinaw kung ano ang kinakatawan ng iba pang mga field.

Dagdag pa, nagpadala si Platon ng CoinDesk code na inilarawan niya bilang pag-access sa back door na inilagay sa mga server ng Binance ng isang "tagaloob." Ang pagsusuri sa code ay nagmumungkahi na tama si Platon.

"Ito ay mataas ang posibilidad na maging isang API key attack," sabi ni Viktor Shpak, CTO sa blockchain development firm VisibleMagic. "Nakuha nila ang mga API key mula sa isang lugar."

Ginagamit ang mga API key upang patotohanan ang mga serbisyo sa loob ng mga palitan at iba pang mga application at maaaring payagan ang isang hacker na gumawa ng anuman mula sa pagbili ng Cryptocurrency sa ngalan ng biktima hanggang sa aktwal na paglipat ng Cryptocurrency sa isang wallet sa labas.

Sinabi ni Shpak na partikular na ang code ay nagpapahiwatig ng back door sa loob ng Binance bagaman ang CoinDesk ay hindi nakapag-iisa na makapag-verify ng access sa pamamagitan ng function na ito at ang nauugnay na API key.

public static String getApiKey(String uri, String userId) {  String time = "";  oras = get("https://www.binance.com/api/v1/time");  Map<String, String> param = bagong HashMap<String, String>();  param.put("userId", userId);  param.put("desc", "api" + JSON.parseObject(time).getString("serverTime"));  return post(uri + "/exchange/mgmt/account/getApiKey", param);  }

"Malamang na ang isang tagaloob ay lumikha ng isang handler upang makakuha ng access sa mga user API key pagkatapos ay inani nila ang mga API key na iyon at nakakuha ng access sa data ng user at nakagawa ng magandang toolkit upang magawa ito," sabi niya.

Bagaman, nang harapin ang impormasyong ito noong panahong iyon, sinabi ng isang kinatawan ng Binance, "Sa pinakabago mula sa koponan, kasalukuyang walang ebidensya na ito ay mga larawan ng KYC mula sa Binance at hindi sila na-watermark ayon sa proseso ng aming system."

Ang motibasyon ni Platon

Habang nakikipag-usap sa CoinDesk, nakipag-ugnayan din si Platon sa punong opisyal ng paglago (CGO) ng Binance, si Ted Lin, bilang bahagi ng isang multi-front na pagsisikap na dalhin ang mga hacker sa hustisya (o kaya sinasabi niya).

"Nais kong personal na gawin ang unang palitan ng Binance sa mundo na kumukuha ng mga hacker. Ito ay magiging lubhang positibo para sa reputasyon ng Binance," sabi ni Planton, na nagdagdag:

"Ibinalita ko kay [Lin] na may nakuha akong insider information gaya ng insider's detail, insider's communication details with outsiders and even insider's photo. I informed him that I have details of hackers - server information, their identity, their phone numbers and ETC."

Sa isang mensahe mula kay Lin na ibinahagi ni Platon sa CoinDesk, ang CGO ay tumanggap na magbayad para sa impormasyon na maaaring humantong sa pag-aresto sa mga hacker, insider at pagbawi ng mga pondo.

Gayunpaman, sa parehong mensaheng ito, tinanggihan ni Lin si Platon para sa "FUD campaign" na kanyang pinapatakbo.

"Tulad ng sinabi ko, T kami tumutugon sa mga pangingikil," sabi ni Lin. Sa mga naunang pakikipag-usap sa CoinDesk, sinabi ni Platon na independyenteng mayaman, at ang operator ng isang Crypto exchange na sinasabi niya ay isang-katlo ang laki ng Binance.

Sinabi rin niya na T siya interesado sa pinansyal na kabayaran. "Kapag kailangan ko ng pera, maaari ko lang i-hack out ang ONE balanse ng exchange account (hacker's). Madali kong makuha ang higit sa 600 o 700 coin sa pamamagitan ng pag-hack ng wallet ng hacker," sabi ni Platon.

"Ngunit T ko hinawakan ang isang sentimos habang nanonood ng parami nang parami ng mga barya na nilalabahan at inilipat sa paligid upang alisin ang track," sabi niya, na sinasabing T niya gustong sabihin sa mga hacker na siya ay nasa kanilang landas.

Nasira ang pag-uusap

Sa kabila ng di-umano'y altruistic na mga layunin ng Platon, nalaman ng CoinDesk sa kalaunan mula sa mga opisyal ng Platon at Binance na ang dapat na white hat hacker ay humihiling ng 300 Bitcoin, humigit-kumulang $3 milyon sa exchange rate ng Hulyo, na binayaran sa 50 installment para sa kanyang impormasyon.

Sa isang lugar sa kahabaan ng linya, gayunpaman, nasira ang mga negosasyon. Noong Hulyo 22, limang araw lamang pagkatapos nilang unang makipag-ugnayan sa CoinDesk, sinabi ni Platon na huminto siya sa pakikipag-ayos sa Binance.

"Para sa halos isang buwan ng negosasyon, T sila nagbayad ng kahit isang sentimo," sabi ni Platon. "Nasira ang deal ko sa Binance."

Noon na ang mga pag-uusap ni Platon kay Binance ay bumagsak sa isang hostage negotiation, na may pagbabanta si Platon na itapon ang anumang impormasyon ng customer na nakuha niya.

Ibinigay ni Platon ang sumusunod na sinasabing pakikipagpalitan kay Ted Lin kung saan naputol ang mga negosasyon:

Ted Lin, [20.07.19 19:54]





I see you already fed the info you have to the media



Ted Lin, [20.07.19 19:59]



dahil ang pinsala mula sa iyong kampanya sa FUD ay tapos na, anuman ang bounty na hinihingi mo para sa impormasyon ay magiging mas kaunti. Gaya ng sinabi ko, T kami nagre-react sa mga pangingikil. Ngunit handa kaming makakuha ng higit pang impormasyon na may kaugnayan sa mga may kasalanan kung mayroon kang kapaki-pakinabang na impormasyon na makapagbibigay-daan sa amin na ilagay ang mga masasamang tao sa likod ng mga bar at mabawi ang mga pondo.




Platon, [21.07.19 16:53]



gaya ng sinabi ko T ko kailangan ng pera mo




Platon, [21.07.19 16:53]



out of deal na ako



Platon, [21.07.19 16:54]



Hindi ko rin ine-expect na magre-react ka.



Platon, [21.07.19 16:59]



ngunit gusto kong makita ang reaksyon ng tagaloob at ng mga hacker kapag nai-publish ang balita. muli, hindi ako interesado sa iyong reaksyon.



Ted Lin, [21.07.19 19:04]



Akala ko ba gusto mong makita ang mga hacker na nahuli?



Platon, [21.07.19 19:11]



gusto ko. pero hindi ngayon.



Platon, [21.07.19 19:12]



I rather step away and KEEP watching.




Ted Lin, [21.07.19 19:19]



Interesado pa rin kaming magbayad para sa impormasyon na maaaring humantong sa pag-aresto sa mga hacker, insider, pagbawi ng mga pondo.



Ted Lin, [21.07.19 19:19]



Ipaalam sa amin kung mayroon kang higit pang impormasyon na makakamit ang mga iyon.



Ted Lin, [21.07.19 19:20]



Dumadaan kami sa pag-verify ng uri ng impormasyon na mayroon ka bago ka nagpasyang huwag makipag-usap.



Ted Lin, [21.07.19 19:21]



Ipaalam sa akin kung nagbago ang iyong isip at gusto mong magpatuloy.



Ted Lin, [21.07.19 19:21]



Salamat sa iyong tulong.



Platon, [21.07.19 19:28]



Tapos bayaran mo ako.

"Ang aking desisyon para sa pakikipag-ayos sa Binance ay mali," sabi niya, "Hindi sila ang mga tamang tao ... kaya i-publish ko na lang ang lahat ng data sa mga customer nito."

Sa katunayan, sa pakikipag-usap sa isang kinatawan ng Binance noong Hulyo 22, sinabi ni Platon, "kasalukuyang interes ko ang mga hacker at tagaloob sa iyong kumpanya. Gusto kong makita ang kanilang reaksyon kapag nai-publish ang balita."

Noong Agosto 5, ang mga banta ni Platon ay naging isang katotohanan, dahil nag-upload siya ng isang dump ng dokumento na naglalaman ng kabuuang 500 mga larawan para sa 166 na tao ng KYC sa isang bukas na site ng pagbabahagi ng file, sa ilalim ng pseudonym na "Guardian M."

Sinundan ito ng pangalawang dump na naglalaman ng daan-daang larawan ng mga indibidwal na may hawak ng kanilang mga ID, sa isang Telegram group noong Miyerkules ng umaga.

Simple lang ang paliwanag ni Platon: sa tingin nila ay tama ang kanilang ginagawa.

" KEEP nagtatanong ang mga tao, 'Bakit mo inilalabas ang mga larawang iyon ng KYC?,' 'Paano mo ito nakuha?' Ang dahilan kung bakit ko ilalabas ang mga KYC na iyon ay simple: Upang bigyan ng babala ang mga taong nakikipag-ugnayan sa Binance," isinulat nila. "Kung kailangan ko ng pera, ibebenta ko ito sa ilalim ng lupa, hindi para i-publish ito."

Larawan sa pamamagitan ng Twitter. Imahe ng header at mga panloob na larawan sa pamamagitan ng CoinDesk.

Si Platon ay hindi tumugon sa mga kahilingan para sa karagdagang komento at hindi ipinahiwatig kung sila ay magpo-post ng higit pa. Nakipag-ugnayan kami sa Binance para sa komento. Nagbigay si John Biggs ng tulong sa marketing at negosyo kay Viktor Shpak ng VisibleMagic, ang developer na nagsuri sa Binance code.