Злодії особистих даних використовують процес налаштування Bitcoin гаманця Chivo у Сальвадорі

Спочатку Синтія Гутьєррес відмовилася завантажувати Chivo, цифровий гаманець, розроблений урядом Сальвадору для використання Bitcoin по всій країні та випущений 7 вересня.

Вона вирішила відкрити програму 16 жовтня після того, як дізналася від співвітчизників-сальвадорців, що хакери активували гаманці, пов’язані з дев’ятизначними номерами на їхніх посвідченнях особи, відомі як DUI за абревіатурою іспанською мовою.

«Це зростало все більше і більше, досягаючи мого близького оточення», — сказав 28-річний Гутьєррес CoinDesk.

Коли Гутьєррес ввела свою особисту інформацію, з’явився екран із повідомленням, що номер її документа вже пов’язано з гаманцем. Вона відразу ж зробила скріншот, побоюючись, що її дані будуть використані в незаконних цілях.

Випадок Гутьєрреса є ONE із сотень, про які сальвадорці повідомили в соціальних мережах і місцевим правозахисникам з вересня, коли Bitcoin було визнано законним платіжним засобом і Chivo почав бути масово використовується в країні.

У період з 9 по 14 жовтня Cristosal, Human організація в Сальвадорі, отримала 755 сповіщень про те, що сальвадорці повідомили про крадіжку особистих даних за допомогою своїх гаманців Chivo, повідомила CoinDesk Ріна Монтті, директор групи з досліджень прав Human .

У більшості випадків постраждалі сальвадорці намагалися активувати свої гаманці після того, як дізналися про велику кількість людей, які повідомили, що їхні особи були вкрадені.

У хакерів був стимул: кожен гаманець був завантажений Bitcoin на суму 30 доларів, наданих адміністрацією президента Сальвадору Найіба Букеле, щоб заохотити громадян використовувати Криптовалюта.

Уряд Сальвадору не відповів на Request прокоментувати заяви про крадіжку особистих даних із залученням гаманців до преси.

З впровадженням Bitcoin Букеле поставив свою центральноамериканську країну в центр глобальної дискусії про майбутнє грошей. Процес не обійшовся без цього критики, наприклад, проти статті 7 закону, яка передбачає, що всі продавці повинні приймати Bitcoin як форму оплати, коли клієнти пропонують їх.

Президент пізніше відмовлено що прийняття Bitcoin буде обов’язковим. Сальвадорці були збентежені розбіжністю між тим, що сказав президент, і тим, що зазначено в законі.

У серпні опитування показав що від 65% до 70% сальвадорців виступають проти прийняття Bitcoin, і на вулицях відбулося кілька маршів протесту. За останньою офіційною дані надані Bukele наприкінці вересня більше 2 мільйонів людей завантажили гаманець Chivo в рамках агресивної програми, яка також включала майнінг Bitcoin за допомогою вулканічна енергія.

Легко обдурити

Згідно з офіційним веб-сайтом Chivo, для відкриття облікового запису потрібно сканувати DUI спереду та ззаду, а потім виконати розпізнавання обличчя, щоб перевірити особу реєстранта. Але кілька жителів Сальвадору повідомили про докази того, що система має недоліки.

Коли Адам Флорес, сальвадорський YouTuber, який керує каналом La Gatada SV, почувши про хаки, він згадав, що його бабуся не відкрила свій гаманець Chivo, і вирішив використати кейс як тест. Незважаючи на те, що у нього була лише фотокопія її DUI, він все одно спробував її, і, на його подив, заявка визнала документ дійсним.

Флорес завершив процес перевірки, який потім попросив розпізнавання обличчя в реальному часі. Ютубер сфотографував на своїй стіні плакат із Сарою Коннор — героїнею серіалу «Термінатор».

Через декілька секунд Chivo Wallet привітав свою бабусю та випустив 30 доларів заохочення, згідно з відео, яке Флорес надіслав CoinDesk як доказ.

Інші справи завантажено до соціальних мереж прямо показали, як просто випадкового фото — в ONE випадку кухля кави — було достатньо, щоб замінити DUI, а потім обдурити тест розпізнавання обличчя.

Сальвадорці не завжди намагаються відкрити свої рахунки самостійно. За словами Монтті з Крістосаля, більшість із 700 сальвадорців, які повідомили про крадіжку особистих даних, просили своїх знайомих спробувати переказати гроші через Chivo, вказавши свої номери DUI у полі одержувача. Вони виявили, що адреси готові приймати перекази. Іншими словами, ID номери вже були зареєстровані кимось іншим, а не законним власником.

Стурбований можливістю видавання себе за іншу особу, 11 жовтня Рамон Есківель попросив свого знайомого надіслати гроші на гаманець за допомогою його DUI. На його подив, переказ був успішним, хоча він ніколи не активував свій обліковий запис.

«З гнівом я зрозумів, що вони використали мій небезпечний стан», — сказав Есківель CoinDesk, додавши, що після цього епізоду він подав скаргу в офіс генерального прокурора. «Мене можуть використовувати для вчинення актів відмивання грошей, які будуть зареєстровані під моєю особою, що скомпрометує мою цілісність», – заявив він.

Інші випадки показали, що шахраї перенаправляли гроші на акаунти навіть не своїх, а інших зламаних людей.

Підтримка клієнтів

Два тижні тому Габріела Соса, сальвадорська медіа-ведуча, спробувала активувати гаманець Chivo за допомогою свого DUI, але на екрані з’явилося повідомлення про помилку, яке повідомляло, що гаманець уже зареєстровано.

Як тільки це сталося, вона зателефонувала на офіційний номер служби підтримки Chivo 192. «Я дзвонила кілька днів, поки мені не сказали, що мені потрібно піти в пункт Chivo», — сказала Соса CoinDesk. Минулої суботи вона звернулася до довідкового центру, і її обліковий запис нарешті відновили, але грошей не було.

У своєму акаунті в Twitter Соса оприлюднила деталі рахунку, на який були спрямовані 30 доларів. Власника звали Майкл Сантакруз.

Кілька днів потому колеги та колеги з університету надіслали скріншоти цього твіту Сантакрузу, який до того часу ніколи не активував свій обліковий запис Chivo, згідно з повідомленнями приватного чату, які він надіслав Сосі, що вона опублікувала.

Тоді він спробував відкрити свій обліковий запис, але в повідомленні говорилося, що його DUI уже зареєстровано. За його словами, як і Соса, Сантакруз звернувся до довідкового центру Chivo і, відновивши свій обліковий запис, зрозумів, що він використовувався для отримання грошей із п’яти зламаних облікових записів. (Спроба отримати коментар від Сантакруза не увінчалася успіхом.)

Cristosal була не єдиною неурядовою організацією (НУО), яка займалася цією проблемою. Acción Ciudadana, некомерційна організація, що спеціалізується на соціальному аудиті, подала повідомлення до Генеральної прокуратури (FGR) 12 жовтня після того, як президент групи Умберто Саенс і директор Едуардо Ескобар виявили, що хакери зареєстрували їхні гаманці Chivo.

Acción Ciudadana повідомив CoinDesk , що досі, через два тижні після подання, не було жодної відповіді від FGR.

Лора Наталі Ернандес, технічний юрист сальвадорської фірми Legal Novis, отримує запити про допомогу від жертв крадіжки особистих даних щодо їхніх гаманців Chivo. Першою рекомендацією, яку вона дала постраждалим людям, було опублікувати інцидент у соціальних мережах, щоб оприлюднити його, а також подати звіт до офісу генерального прокурора.

За словами Ернандеса, в першу чергу слід звернутися до організації, яка керує додатком. "Але ми також T маємо багато інформації про те, хто відповідальний", - сказала вона, додавши: "Ми T знаємо, хто нею керує, якщо є третя компанія. Не було прозорості".

Нечітка відповідальність

Згідно з умовами Chivo, авторизація облікового запису залежить від процесу «знай свого клієнта» (KYC), який виконує CHIVO S.A. de C.V. приватна компанія створений урядом для запуску гаманця. Цей процес перевірки «включає надання інформації та документів, необхідних для повної відповідності процесу».

Підзвітність компанії незрозуміла. Відповідно до умови, користувачі погоджуються «не розголошувати та не розголошувати третім сторонам будь-яку інформацію, DUI, паролі або будь-який код, який використовується для доступу до сайту». Але в умовах також зазначено, що компанія «не несе відповідальності за будь-які збитки або збитки, які користувач може зазнати в результаті несанкціонованого доступу третьої сторони до вашого облікового запису в результаті злому або втрати паролів».

Служба підтримки Chivo не відповіла на запитання CoinDesk про те, хто несе відповідальність за злом, коли реальний власник облікового запису не надає інформацію.

Гаманець додає, що послуги перевірки надаватимуться компанією безпосередньо та/або через третю сторону, яку компанія залучила для такої мети. Але до моменту преси компанія не відповіла на запитання CoinDesk про те, яка третя сторона надає послуги ідентифікації для платформи.

Соса, медіа-ведуча із Сальвадора, розповіла CoinDesk , що зрештою повернула свої гроші, і підкреслила, що її скарга не спрямована проти програми чи уряду Букеле, а просто хоче привернути увагу до проблеми.

Гутьєррес ще не повернула свої гроші. «Я намагалася зв’язатися зі службою обслуговування клієнтів, але вони не дали мені відповіді, і немає жодної установи, яка б чітко Соціальні мережі процес у цьому випадку», — сказала вона.

Есківель сказав, що його не цікавить ані стимул у 30 доларів, ані урядовий додаток.

«Якщо я взагалі буду використовувати Bitcoin , то це буде з гаманцем, у якому я зберігаю свої гроші», — сказав він.