I ladri di identità sfruttano il processo di installazione del portafoglio Bitcoin Chivo di El Salvador

Inizialmente, Cynthia Gutierrez si è rifiutata di scaricare Chivo, il portafoglio digitale sviluppato dal governo di El Salvador per l'utilizzo di Bitcoin in tutto il Paese e rilasciato il 7 settembre.

Ha deciso di aprire l'app il 16 ottobre dopo aver appreso dai suoi connazionali salvadoregni che degli hacker avevano attivato dei portafogli associati ai numeri di nove cifre delle loro carte d'identità, noti come DUI (acronimo spagnolo).

"Questo fenomeno stava crescendo sempre di più, raggiungendo la mia cerchia ristretta", ha detto Gutierrez, 28 anni, a CoinDesk.

Quando Gutierrez ha inserito i suoi dati personali, è apparsa una schermata che diceva che il suo numero di documento era già associato a un portafoglio. Immediatamente, ha fatto uno screenshot, temendo che i suoi dati potessero essere usati per scopi illeciti.

Il caso di Gutierrez è ONE delle centinaia di casi che i salvadoregni hanno segnalato sui social media e ai sostenitori locali da settembre, quando il Bitcoin è stato stabilito come moneta legale e Chivo ha iniziato a essere ampiamente utilizzato nel paese.

Tra il 9 e il 14 ottobre, Cristosal, un'organizzazione per i diritti Human di El Salvador, ha ricevuto 755 notifiche di furti di identità da parte di salvadoregni tramite i loro portafogli Chivo, ha dichiarato a CoinDesk Rina Montti, direttrice della ricerca sui diritti Human del gruppo.

Nella maggior parte dei casi, i salvadoregni interessati hanno provato ad attivare i propri portafogli dopo aver appreso del gran numero di persone che avevano denunciato il furto della loro identità.

Gli hacker avevano un incentivo: ogni portafoglio era caricato con 30 dollari in Bitcoin, forniti dall'amministrazione del presidente salvadoregno Nayib Bukele per incoraggiare i cittadini a utilizzare la Criptovaluta.

Al momento in cui scriviamo, il governo di El Salvador non ha risposto alla Request di commenti sulle accuse di furto di identità che coinvolgono i portafogli.

Con l'adozione di Bitcoin, Bukele ha posizionato il suo paese centroamericano al centro di una discussione globale sul futuro del denaro. Il processo non è stato privo di critici, come quelle avanzate contro l'articolo 7 della legge, che stabilisce che tutti i commercianti devono accettare Bitcoin come forma di pagamento quando i clienti lo offrono.

Il presidente più tardinegato che l'accettazione Bitcoin sarebbe stata obbligatoria. I salvadoregni erano sconcertati dalla discrepanza tra ciò che il presidente aveva detto e ciò che la legge stabiliva.

Ad agosto, i sondaggiha mostrato che il 65-70% dei salvadoregni si è opposto all'adozione di Bitcoin e si sono svolte diverse marce di protesta nelle strade. Secondo le ultime dichiarazioni ufficiali dati forniti da Bukele alla fine di settembre, più di 2 milioni di persone hanno scaricato il portafoglio Chivo, come parte di un programma aggressivo che includeva anche il mining Bitcoin con energia vulcanica.

Facile da ingannare

Secondo il sito web ufficiale di Chivo, per aprire un account è necessario scansionare il DUI fronte e retro, e poi eseguire il riconoscimento facciale per verificare l'identità del registrante. Ma diversi salvadoregni hanno segnalato prove che il sistema è difettoso.

Quando Adam Flores, uno YouTuber salvadoregno che gestisce il canaleLa Gatada SV, sentito parlare degli hack, si è ricordato che sua nonna non aveva aperto il suo portafoglio Chivo e ha deciso di usare il caso come prova. Anche se aveva solo una fotocopia della sua guida in stato di ebbrezza, ci ha provato comunque e, con suo stupore, l'applicazione ha accettato il documento come valido.

Flores ha seguito il processo di verifica, che ha poi richiesto il riconoscimento facciale in tempo reale. Lo YouTuber ha scattato una foto di un poster sul suo muro di Sarah Connor, un personaggio della serie di film "Terminator".

Pochi secondi dopo, Chivo Wallet ha accolto la nonna e ha rilasciato l'incentivo di 30 $, secondo un video che Flores ha inviato a CoinDesk come prova.

Altri casicaricato direttamente sui social media hanno dimostrato come una foto casuale, in ONE caso di una tazza da caffè, fosse sufficiente a sostituire il test di guida in stato di ebbrezza e quindi a eludere il test di riconoscimento facciale.

I salvadoregni non sempre provano ad aprire i loro conti da soli. Secondo Montti, di Cristosal, la maggior parte dei 700 salvadoregni che hanno denunciato il furto di identità hanno chiesto ai conoscenti di provare a trasferire denaro tramite Chivo inserendo i loro numeri DUI nel campo del destinatario. Hanno scoperto che gli indirizzi erano pronti per ricevere trasferimenti. In altre parole, i numeri ID erano già registrati, da qualcuno diverso dal legittimo proprietario.

Preoccupato per la sostituzione di persona, Ramón Esquivel chiese a un conoscente di inviare denaro a un portafoglio con la sua guida in stato di ebbrezza l'11 ottobre. Con sua sorpresa, il trasferimento ebbe successo, nonostante non avesse mai attivato il suo account.

"Con rabbia, ho capito che avevano usato la mia guida in stato di ebbrezza", ha detto Esquivel a CoinDesk, aggiungendo che dopo l'episodio ha sporto denuncia presso l'ufficio del procuratore generale. "Sono esposto al rischio di essere utilizzato per commettere atti di riciclaggio di denaro che verrebbero registrati sotto la mia identità, compromettendo la mia integrità", ha affermato.

Altri casi hanno dimostrato che i truffatori hanno dirottato il denaro su conti che non erano nemmeno i loro, ma quelli di altre persone hackerate.

Assistenza clienti

Due settimane fa, Gabriela Sosa, una conduttrice televisiva salvadoregna, ha provato ad attivare un portafoglio Chivo durante la sua guida in stato di ebbrezza, ma sullo schermo è apparso un messaggio di errore che la informava che il portafoglio era già registrato.

Non appena è successo, ha chiamato il numero di supporto ufficiale per Chivo, 192. "Ho continuato a chiamare per diversi giorni finché non mi hanno detto che dovevo andare a un punto Chivo", ha detto Sosa a CoinDesk. Sabato scorso, è andata a quel centro assistenza e il suo account è stato finalmente recuperato, ma i soldi no.

Sul suo account Twitter, Sosa ha rilasciato i dettagli del conto a cui erano stati indirizzati i 30 $. Il nome del proprietario era Michael Santacruz.

Giorni dopo, i colleghi e i colleghi universitari hanno inviato screenshot di quel tweet a Santacruz, che fino a quel momento non aveva mai attivato il suo account Chivo, secondo i messaggi di chat privati che ha inviato a Sosa chelei ha pubblicato.

Ha provato, quindi, ad aprire il suo account, ma una notifica diceva che la sua guida in stato di ebbrezza era già stata registrata. Come Sosa, Santacruz si è rivolto a un centro assistenza Chivo e, dopo aver recuperato il suo account, si è reso conto che era stato utilizzato per ricevere denaro da cinque account hackerati, ha detto. (I tentativi di contattare Santacruz per un commento non hanno avuto successo.)

Cristosal non è stata l'unica organizzazione non governativa (ONG) ad affrontare il problema. Acción Ciudadana, un'organizzazione non-profit specializzata in auditing sociale, ha presentato una notifica all'ufficio del procuratore generale (FGR) il 12 ottobre dopo che il presidente del gruppo Humberto Sáenz e il direttore Eduardo Escobar hanno scoperto che gli hacker avevano registrato i loro portafogli Chivo.

Acción Ciudadana ha dichiarato a CoinDesk che fino ad ora, due settimane dopo la presentazione, non c'è stata alcuna risposta da parte dell'FGR.

Laura Nathalie Hernández, avvocato specializzato in tecnologia presso lo studio legale salvadoregno Legal Novis, ha ricevuto richieste di aiuto da parte di vittime di furto di identità in merito ai loro Chivo Wallet. La prima raccomandazione che ha dato alle persone colpite è stata quella di postare l'incidente sui social media per renderlo pubblico e anche di presentare un rapporto all'ufficio del procuratore generale.

Secondo Hernández, l'ente che gestisce l'applicazione dovrebbe essere il primo a cui rivolgersi. "Ma T abbiamo molte informazioni neanche su chi è responsabile", ha detto, aggiungendo: "T sappiamo chi lo gestisce, se c'è una terza azienda. Non c'è stata trasparenza".

Responsabilità poco chiara

Secondo i termini e le condizioni di Chivo, l'autorizzazione di un account è subordinata a un processo di conoscenza del cliente (KYC) svolto da CHIVO S.A. de C.V., unsocietà privatacreato dal governo per lanciare il portafoglio. Questo processo di verifica "include la fornitura delle informazioni e dei documenti richiesti per la piena conformità al processo".

La responsabilità dell'azienda non è chiara. Secondo ilTermini e Condizioni, gli utenti accettano di "non divulgare o divulgare a terzi alcuna informazione, DUI, password o qualsiasi codice utilizzato per accedere al sito". Ma i termini stabiliscono anche che "non sarà responsabile per alcuna perdita o danno che l'utente potrebbe subire a seguito di un accesso non autorizzato di terzi al tuo account a seguito di hack o password perse".

Il personale di supporto di Chivo non ha risposto alle domande di CoinDesk su chi è responsabile di un hack in cui il vero proprietario dell'account non fornisce informazioni.

Il portafoglio aggiunge che i servizi di verifica saranno forniti direttamente dalla società e/o tramite una terza parte incaricata dalla società a tale scopo. Ma al momento della stampa, non aveva risposto alla domanda di CoinDesk su quale altra terza parte fornisca servizi di identificazione alla piattaforma.

Sosa, la conduttrice dei media salvadoregni, ha dichiarato a CoinDesk che alla fine ha ottenuto indietro i suoi soldi e ha sottolineato che il suo reclamo non è contro l'applicazione o il governo di Bukele, ma vuole solo sensibilizzare l'opinione pubblica sul problema.

Gutierrez non ha ancora recuperato i suoi soldi. "Ho provato a contattare il servizio clienti, ma non mi hanno dato risposta, né esiste un'istituzione che sia chiara sulla procedura da Seguici in questo caso", ha detto.

Esquivel ha affermato di non essere interessato né all'incentivo da 30 dollari né all'app governativa.

"Se dovessi usare Bitcoin , lo farei tramite un portafoglio in cui avrò la custodia del mio denaro", ha affermato.