Uma extorsão que deu errado: por dentro das negociações da Binance com seu "vazador KYC"

A lição

• Antes de publicar detalhes sobre clientes reais da Binance online na quarta-feira, um hacker operando sob o pseudônimo “Platão Bnatov"teve uma conversa de um mês com repórteres do CoinDesk .
• Nas negociações, Platon revelou como ele supostamente hackeou indivíduos responsáveis ​​por um hack anterior no qual 7.000 Bitcoin foram roubados da maior exchange do mundo.
• Platon alegou que seus objetivos eram altruístas e que ele simplesmente queria levar as identidades dos hackers à justiça. No entanto, parece que ele também efetivamente pediu dinheiro em troca de promessas de que não divulgaria os dados dos clientes da Binance.
• Platon e Binance teriam mantido inúmeras conversas e, segundo consta, fecharam um acordo que foi posteriormente abortado. A CoinDesk obteve transcrições completas dessas conversas.

No que parece ser um jogo elaborado de hackers hackeando hackers, um indivíduo operando sob o pseudônimo "Bnatov Platon" forneceu ao CoinDesk informações detalhadas sobre suas tentativas de obter milhões de dólares em troca de se recusar a divulgar informações sobre clientes de uma das maiores bolsas de Criptomoeda do mundo, a Binance.

Informações sobre o hack, coletadas ao longo de um mês de interação com o hacker, foram divulgadas publicamente hoje, quando Platon começou a postar o que ele alegou serem imagens e informações sobre clientes reais da Binance, primeiro em um site aberto e depois no Telegram.

A ideia de que as informações dos clientes podem não estar seguras na maior bolsa do mundo foi o suficiente para imediatamente despertar a atenção do setor, com grandes sites de notícias e influenciadores do Twitter rapidamente divulgando as notícias.

No entanto, a história completa foi – e continua sendo – mais complicada do que parecia à primeira vista.

Primeiro, tem raízes profundas, que remontam a um incidente em maio, quando um grupo externo invadiu contas de usuários da Binance e roubou 7.000 Bitcoin. Na época, a Binance foi, como sempre, pública sobre seus problemas, descrevendo-os como parte de uma “violação de segurança em larga escala” na qual “hackers conseguiram obter um grande número de chaves de API de usuários, códigos 2FA e potencialmente outras informações”.

Não foi mencionado, no entanto, que informações de identificação do usuário podem ter vazado.

É durante esse evento que Platon alega que as informações que eles obtiveram sobre os clientes da Binance foram produzidas, embora, em uma reviravolta, ele diga que não foi o autor do hack, mas que ele hackeou um "insider" da exchange envolvido no assalto.

Em outra ocasião, a Binance alega que os dados do cliente foram obtidos de uma empresa terceirizada não identificada que ela contratou para conduzir sua pesquisa de conhecimento do cliente (KYC) desde fevereiro de 2018.

Além disso, a CoinDesk confirmou que pelo menos dois das centenas de perfis vazados pertencem a clientes reais que forneceram informações de identificação à exchange. Uma das imagens que analisamos parecia ter sido adulterada, mas a pessoa cuja identidade apareceu na foto confirmou que havia criado uma conta na Binance na época dos vazamentos.

Em conversas com a CoinDesk, Platon alegou que eles são um "white hat hacker" e, em alguns comentários, sugeriu que eles estavam pedindo à Binance uma recompensa por bug para expor as informações. As negociações fracassaram, no entanto, e Platon e representantes da Binance relataram que ele pediu 300 Bitcoin para expandir ainda mais os dados que ele possuía.

Em uma declaração, a Binance respondeu ao “medo, incerteza e dúvida” lançados pela notícia:

“Gostaríamos de informar que um indivíduo não identificado nos ameaçou e assediou, exigindo 300 BTC em troca da retenção de 10.000 fotos que têm similaridade com os dados KYC da Binance. Ainda estamos investigando este caso para legitimidade e relevância.”

Entramos em contato com a Binance para mais comentários.

Platon afirma ter 60.000 informações KYC em sua coleção.

O que se segue é o que sabemos sobre as negociações e suas consequências.

Movendo dinheiro

A interação da CoinDesk com a Platon começou em julho, quando começamos a relatar a movimentação de bitcoins roubados na violação de maio da Binance.

A Binance respondeu ao hack na época, dizendo que agentes maliciosos adquiriram APIs de clientes, códigos de dois fatores e “potencialmente outras informações”.

A opinião de Platon sobre o incidente foi diferente. Eles alegam que um insider dentro da organização ajudou a tornar públicas várias APIs que permitiram que os hackers acessassem diretamente as contas dos clientes. Os hackers armazenaram listas de chaves de API do cliente - os códigos usados para acessar suas contas remotamente - em arquivos de texto que Platon alegou ser capaz de adquirir. Isso permitiu que os hackers acessassem fundos remotamente.

Os arquivos também “contêm informações extremamente sérias”, incluindo endereços de e-mail e senhas de contas de clientes, disse Platon. Os clientes em risco abriram contas na Binance entre 2018 e 2019.

Usando essas informações pessoais, os hackers escreveram um script malicioso que lhes permitiu sacar instantaneamente .002 BTC (aproximadamente US$ 23) de cada vez. O código colocou uma ordem de compra para um token obscuro chamado BlockMason Credit Protocol e o converteu para Bitcoin. O código, que examinamos, também poderia executar uma série de funções usando chamadas de API que não são mais abertas ou públicas. Quando testamos uma chamada de API, no entanto, uma simples Request para o horário do servidor, ela ainda estava aberta. Não está claro se os pontos de extremidade de API fechados foram removidos ou simplesmente ocultados.

Platon alega que as moedas roubadas estavam guardadas em uma carteira hospedada pelo provedor de carteira de software de Bitcoin Blockchain, o Maker da recém-lançada bolsa PIT .

Seguindo uma trilha que partia dessa carteira, Platon descobriu que os hackers haviam lavado 2.000 bitcoins por meio da Bitmex, Yobit, KuCoin e Huobi e estavam tentando converter até US$ 1 milhão em Bitcoin por dia.

Como funcionou

Das 60.000 contas de clientes que Platon alega terem sido violadas, ele compartilhou 636 arquivos com a CoinDesk. Ele esperava que a atenção da mídia estimulasse a Binance a anunciar a verdadeira extensão do hack e levar os invasores à justiça.

Por sua vez, a Binance anunciou que o Bitcoin roubado veio apenas de suas contas corporativas e não afetou os consumidores. Na época, a exchange também suspendeu depósitos e saques para proteger os usuários. No entanto, a extensão das informações vazadas do usuário foi mantida em Secret.

Além de imagens de passaportes, carteiras de motorista e fotos reais de usuários segurando seus documentos de identidade, Platon também forneceu alguns exemplos de metadados associados às imagens.

Por exemplo, este código sugere que um usuário passou pelo KYC em 20/03/2018:

"ID": 1573211,"userId": "25276308","front": "/IDS_IMG20180320/25276308_0_9416819.jpg","back": "/IDS_IMG20180320/25276308_1_7376587.jpg","hand": "/IDS_IMG20180320/25276308_2_4413070.jpg","auditor": "chenxiaozi","message": "","status": 1,"createTime": "2018-03-20 08:12:33","updateTime": "2018-03-21 01:48:33","number": "s532557730580","firstName": "m[REDIGIDO]","lastName": "[REDIGIDO]","type": 2,"sex": 1,"country": "Estados Unidos da América (EUA)（美国）","email": "[REDIGIDO]@outlook.com","version": 1

O KYC ocorreu na China, como sugerido pelo nome do auditor, bem como pela adição de “美国” no final do código do país. Não está claro o que os outros campos representam.

Além disso, Platon enviou um código para a CoinDesk que ele descreveu como acesso a uma porta dos fundos colocada nos servidores da Binance por um “insider”. A análise do código sugere que Platon está correto.

“É altamente provável que seja um ataque de chave de API”, disse Viktor Shpak, CTO da empresa de desenvolvimento de blockchainMagia Visível. “Eles coletaram chaves de API de algum lugar.”

Chaves de API são usadas para autenticar serviços em bolsas e outros aplicativos e podem permitir que um hacker faça qualquer coisa, desde comprar Criptomoeda em nome de uma vítima até mover Criptomoeda para uma carteira externa.

Shpak disse que o código em particular sugere uma porta dos fundos dentro da Binance, embora a CoinDesk não tenha conseguido verificar o acesso de forma independente por meio dessa função e da chave de API associada.

public static String getApiKey(String uri, String userId) {  String time = "";  time = get("https://www.binance.com/api/v1/time");  Map<String, String> param = new HashMap<String, String>();  param.put("userId", userId);  param.put("desc", "api" + JSON.parseObject(time).getString("serverTime"));  return post(uri + "/exchange/mgmt/account/getApiKey", param);  }

“Provavelmente um insider criou um manipulador para obter acesso às chaves de API do usuário, então eles coletaram essas chaves de API e obtiveram acesso aos dados do usuário e construíram um bom kit de ferramentas para trabalhar com isso”, disse ele.

Porém, quando confrontado com essa informação na época, um representante da Binance disse: “Até o momento, a equipe não informou se essas são imagens KYC da Binance e elas não têm marca d'água de acordo com o processo do nosso sistema”.

A motivação de Platão

Ao falar com o CoinDesk, Platon também contatou o diretor de crescimento (CGO) da Binance, Ted Lin, como parte de um esforço multifacetado para levar os hackers à justiça (ou assim ele alega).

“Eu pessoalmente queria fazer da Binance a primeira exchange do mundo a capturar hackers. Será extremamente positivo para a reputação da Binance”, disse Planton, que acrescentou:

“Informei [Lin] que tenho informações privilegiadas, como detalhes de insiders, detalhes de comunicação de insiders com pessoas de fora e até mesmo fotos de insiders. Informei a ele que tenho detalhes de hackers - informações do servidor, suas identidades, seus números de telefone e ETC”

Em uma mensagem de Lin que Platon compartilhou com a CoinDesk, o CGO se mostrou receptivo a pagar por informações que pudessem levar à prisão de hackers, insiders e recuperação de fundos.

No entanto, na mesma mensagem, Lin rejeitou Platon pela “campanha FUD” que ele estava conduzindo.

“Como eu disse, T reagimos a extorsões”, disse Lin. Em conversas anteriores com a CoinDesk, Platon afirmou ser rico de forma independente e operador de uma exchange de Cripto que, segundo ele, tem um terço do tamanho da Binance.

Ele também disse que T estava interessado em remuneração financeira. “Quando preciso de dinheiro, posso simplesmente hackear o saldo de uma conta de câmbio (do hacker). Eu poderia recuperar mais de 600 ou 700 moedas facilmente hackeando a carteira do hacker”, disse Platon.

"Mas T toquei em nenhum centavo enquanto observava mais e mais moedas sendo lavadas e movidas para remover o rastro", disse ele, alegando que T queria avisar os hackers de que estava no encalço deles.

A conversa se interrompe

Apesar dos supostos objetivos altruístas de Platon, a CoinDesk soube mais tarde por representantes da Platon e da Binance que o suposto hacker white hat estava solicitando 300 Bitcoin, cerca de US$ 3 milhões na taxa de câmbio de julho, pagos em 50 parcelas por suas informações.

Em algum lugar ao longo da linha, no entanto, as negociações fracassaram. Em 22 de julho, apenas cinco dias após terem contatado inicialmente a CoinDesk, Platon disse que havia parado de negociar com a Binance.

“Por cerca de um mês de negociação, eles T pagaram um único centavo”, disse Platon. “Meu acordo com a Binance está quebrado.”

Foi então que as conversas de Platon com a Binance degeneraram em uma negociação de reféns, com Platon ameaçando revelar qualquer informação do cliente que ele tivesse adquirido.

Platon forneceu a seguinte suposta troca com Ted Lin, onde as negociações fracassaram:

Ted Lin, [20.07.19 19:54]

Vejo que você já passou a informação que tem para a mídia

Ted Lin, [20.07.19 19:59]



dado que o dano da sua campanha FUD já foi feito, qualquer recompensa que você estivesse pedindo pela informação seria significativamente menor. Como eu disse, T reagimos a extorsões. Mas estamos dispostos a obter mais informações relacionadas aos perpetradores se você tiver informações úteis que possam nos permitir colocar os bandidos atrás das grades e recuperar fundos.




Platão, [21.07.19 16:53]



como eu disse T preciso do seu dinheiro




Platão, [21.07.19 16:53]

Eu já estou sem acordo

Platão, [21.07.19 16:54]

Eu também não espero que você reaja.

Platão, [21.07.19 16:59]

mas eu adoro ver a reação dos insiders e dos hackers quando as notícias são publicadas. Mais uma vez, não estou interessado na sua reação.

Ted Lin, [21.07.19 19:04]

Achei que você queria ver aqueles hackers pegos?

Platão, [21.07.19 19:11]

Eu queria. mas não agora.

Platão, [21.07.19 19:12]



Prefiro me afastar e KEEP assistindo.




Ted Lin, [21.07.19 19:19]

Ainda estamos interessados em pagar por informações que podem levar à prisão de hackers, insiders, recuperação de fundos.

Ted Lin, [21.07.19 19:19]

Deixe-nos saber se você tem mais informações que podem atingir isso.

Ted Lin, [21.07.19 19:20]

Estávamos verificando o tipo de informação que você tem antes de você decidir não falar.

Ted Lin, [21.07.19 19:21]

Me avise se mudar de ideia e quiser continuar.

Ted Lin, [21.07.19 19:21]



Obrigado pela ajuda.



Platão, [21.07.19 19:28]

Então me pague.

“Minha decisão de negociar com a Binance foi errada”, disse ele, “Eles não são as pessoas certas… então vou apenas publicar todos os dados para seus clientes.”

De fato, falando com um representante da Binance em 22 de julho, Platon disse, “um interesse atual meu são esses hackers e insiders na sua empresa. Adoraria ver a reação deles quando a notícia for publicada.”

Em 5 de agosto, as ameaças de Platon se tornaram realidade, pois ele carregou um despejo de documentos contendo um total de 500 fotos para KYC de 166 pessoas em um site de compartilhamento de arquivos aberto, sob o pseudônimo de “Guardian M”.

Isso foi seguido por um segundo despejo contendo centenas de imagens de indivíduos segurando suas identidades, para um grupo do Telegram na manhã de quarta-feira.

A explicação de Platon é simples: eles acham que estão fazendo a coisa certa.

"As pessoas KEEP perguntando: 'Por que você está divulgando essas fotos KYC?', 'Como você as conseguiu?' O motivo pelo qual estou divulgando essas fotos KYC é simples: para avisar vocês, pessoas que estão negociando na Binance", escreveram. "Se eu precisasse de dinheiro, eu o venderia no underground, não para publicá-lo."

Imagem via Twitter. Imagem de cabeçalho e imagens internas via CoinDesk.

A Platon não respondeu aos pedidos de comentários adicionais e não indicou se eles postarão mais. Entramos em contato com a Binance para comentar. John Biggs forneceu assistência de marketing e negócios a Viktor Shpak da VisibleMagic, o desenvolvedor que analisou o código da Binance.