Здирство пішло погано: всередині переговорів Binance з «витоком KYC»

Винос

• Перш ніж опублікувати подробиці про реальних клієнтів Binance онлайн в середу, хакер, який діяв під псевдонімом «Бнатов Платон» провів місячну розмову з журналістами CoinDesk .
• Під час переговорів Платон розповів, як він нібито зламав осіб, які стояли за попереднім зломом, під час якого з найбільшої біржі світу було викрадено 7000 Bitcoin .
• Платон стверджував, що його цілі були альтруїстичними, і що він просто хотів притягнути до відповідальності особи хакерів. Однак, здається, він також фактично попросив гроші в обмін на обіцянки, що не розголошуватиме дані клієнтів Binance.
• Платон і Binance провели численні переговори і, як повідомляється, уклали угоду, яку пізніше було скасовано. CoinDesk отримав повні стенограми цих розмов.

У тому, що виглядає як складна гра хакерів, які зламують хакерів, особа під псевдонімом «Бнатов Платон» надала CoinDesk обширну інформацію про їхні спроби отримати мільйони доларів в обмін на відмову оприлюднити інформацію про клієнтів ONE з найбільших у світі бірж Криптовалюта Binance.

Інформація про злом, зібрана протягом місяця взаємодії з хакером, була оприлюднена сьогодні, коли Платон почав публікувати, як він стверджував, зображення та інформацію про реальних клієнтів Binance, спочатку на відкритому веб-сайті, а потім у Telegram.

Думки про те, що інформація про клієнтів може бути небезпечною на найбільшій у світі біржі, було достатньо, щоб негайно привернути увагу галузі, і головні веб-сайти новин і впливові особи Twitter швидко оприлюднили новини.

Проте повна історія була – і залишається – складнішою, ніж здавалося спочатку.

По-перше, це має глибоке коріння, яке сягає травневого інциденту, коли стороння група зламала облікові записи користувачів Binance та вкрала 7000 Bitcoin. У той час Binance, як завжди, відкрито розповідав про свої проблеми, описуючи це як частину «масштабного порушення безпеки», під час якого «хакери змогли отримати велику кількість ключів API користувача, кодів 2FA та, можливо, іншої інформації».

Однак не згадувалося, що ідентифікаційна інформація користувача могла бути виточена.

Саме під час цієї події Платон стверджує, що інформація, яку вони отримали про клієнтів Binance, була отримана, хоча, по суті, він каже, що не він був винуватцем злому, а що він зламав «інсайдера» біржі, залученого до пограбування.

З іншого боку, Binance стверджує, що дані про клієнта були отримані від неназваної сторонньої компанії, з якою вона уклала контракт на ведення свого клієнта (KYC) з лютого 2018 року.

Крім того, CoinDesk підтвердив, що принаймні два із сотень витоку профілів належать реальним клієнтам, які надали біржі ідентифікаційну інформацію. ONE із зображень, які ми проаналізували, здавалося, було фальсифіковано, але особа, чия особа була на зображенні, підтвердила, що вона створила обліковий запис Binance приблизно під час витоку інформації.

У розмові з CoinDesk Платон стверджував, що вони «хакери в білому капелюсі», і в кількох коментарях припустив, що вони просять у Binance винагороду за помилки за розкриття інформації. Однак переговори зірвалися, і представники Platon і Binance повідомили, що він попросив 300 Bitcoin , щоб розширити дані, які він мав.

У своїй заяві Binance відповіла на «страх, невпевненість і сумніви», викликані новиною:

"Ми хотіли б повідомити вам, що невідома особа погрожувала нам і переслідувала нас, вимагаючи 300 BTC в обмін на приховування 10 000 фотографій, які мають схожість з даними Binance KYC. Ми все ще розслідуємо цю справу на законність і релевантність".

Ми звернулися до Binance для подальших коментарів.

Платон стверджує, що в його колекції є 60 000 одиниць інформації KYC.

Нижче наведено те, що ми знаємо про переговори та їх наслідки.

Переміщення грошей

Взаємодія CoinDesk із Platon вперше почалася в липні, коли ми почали звітувати про переміщення біткойнів, вкрадених під час травневого злому Binance.

Тоді Binance відповіла на злом, заявивши, що зловмисники отримали клієнтські API, двофакторні коди та «потенційно іншу інформацію».

Платон ставився до цього випадку інакше. Вони стверджують, що інсайдер в організації допоміг зробити низку API публічними, що дозволило хакерам отримати прямий доступ до облікових записів клієнтів. Хакери зберігали списки ключів клієнтського API - коди, які використовуються для віддаленого доступу до їхніх облікових записів - у текстових файлах, які Platon стверджував, що міг отримати. Це дозволило хакерам отримати віддалений доступ до коштів.

Файли також «містять надзвичайно серйозну інформацію», включаючи адреси електронної пошти клієнтів і паролі облікових записів, сказав Платон. Клієнти з групи ризику відкрили рахунки Binance між 2018 і 2019 роками.

Використовуючи цю особисту інформацію, хакери написали шкідливий сценарій, який дозволяв їм миттєво виводити 0,002 BTC (приблизно 23 долари США) за раз. Код розмістив замовлення на покупку незрозумілого токена під назвою BlockMason Credit Protocol і конвертував його в Bitcoin. Код, який ми перевірили, також може виконувати низку функцій за допомогою викликів API, які більше не є відкритими чи публічними. Однак коли ми тестували ONE виклик API, простий Request часу на сервері, він все ще був відкритий. Незрозуміло, чи були закриті кінцеві точки API видалені чи просто приховані.

Платон стверджує, що вкрадені монети зберігалися в гаманці постачальника гаманців програмного забезпечення для Bitcoin Blockchain, Maker нещодавно запущеної біржі PIT .

Прослідкувавши цей гаманець, Платон виявив, що хакери відмили 2000 біткойнів через Bitmex, Yobit, KuCoin і Huobi та хотіли конвертувати до 1 мільйона доларів у Bitcoin на день.

Як це працювало

З 60 000 облікових записів клієнтів, які Платон стверджує, були зламані, він поділився 636 файлами з CoinDesk. Він сподівався, що увага ЗМІ спонукає Binance оголосити справжні масштаби злому та притягнути зловмисників до відповідальності.

Зі свого боку Binance оголосила, що вкрадені Bitcoin походять лише з їхніх корпоративних рахунків і не вплинули на споживачів. У той час біржа також призупинила депозити та зняття коштів, щоб захистити користувачів. Однак обсяг витоку інформації про користувачів тримався в Secret.

На додаток до зображень паспортів, водійських прав і справжніх знімків голови користувачів, які тримають свої посвідчення особи, Platon також надав кілька прикладів метаданих, пов’язаних із зображеннями.

Наприклад, цей код передбачає, що користувач пройшов KYC 20.03.2018:

"ID": 1573211,"userId": "25276308","front": "/IDS_IMG20180320/25276308_0_9416819.jpg","back": "/IDS_IMG20180320/25276308_1_7376587.jpg","hand": "/IDS_IMG20180320/25276308_2_4413070.jpg","auditor": "chenxiaozi","message": "","status": 1,"createTime": "2018-03-20 08:12:33","updateTime": "2018-03-21 01:48:33","number": "s532557730580","firstName": "m[ВИДАЛЕНО]","lastName": "[ВИДАЛЕНО]","type": 2,"sex": 1,"country": "Сполучені Штати Америки (США)（美国）","email": "[ВИДАЛЕНО]@outlook.com","version": 1

KYC відбувся в Китаї, як це вказує на назву аудитора, а також додавання «美国» в кінці коду країни. Незрозуміло, що представляють інші поля.

Крім того, Платон надіслав код CoinDesk , який він описав як доступ до чорного ходу, розміщеного на серверах Binance «інсайдером». Аналіз коду показує, що Платон правий.

«Це, швидше за все, буде атака на ключ API», — сказав Віктор Шпак, технічний директор фірми з розробки блокчейнів. VisibleMagic. «Вони зібрали звідкись ключі API».

Ключі API використовуються для автентифікації служб на біржах та інших програмах і можуть дозволити хакеру робити що завгодно: від покупки Криптовалюта від імені жертви до фактичного переміщення Криптовалюта на зовнішній гаманець.

Шпак сказав, що код, зокрема, свідчить про чорні двері в Binance, хоча CoinDesk не зміг незалежно перевірити доступ за допомогою цієї функції та пов’язаного ключа API.

public static String getApiKey(String uri, String userId) {  String time = "";  time = get("https://www.binance.com/api/v1/time");  Map<String, String> param = new HashMap<String, String>();  param.put("userId", userId);  param.put("desc", "api" + JSON.parseObject(time).getString("serverTime"));  return post(uri + "/exchange/mgmt/account/getApiKey", param);  }

«Швидше за все, інсайдер створив обробник для отримання доступу до ключів API користувача, потім вони зібрали ці ключі API та отримали доступ до даних користувача та створили гарний набір інструментів для роботи з цим», — сказав він.

Однак, зіткнувшись із цією інформацією в той час, представник Binance сказав: «За останніми даними команди, наразі немає доказів того, що це зображення KYC від Binance, і вони не мають водяних знаків відповідно до нашого системного процесу».

Мотивація Платона

Під час розмови з CoinDesk Платон також зв’язався з головним спеціалістом з розвитку Binance (CGO), Тедом Ліном, у рамках багатофронтової спроби притягнути хакерів до відповідальності (принаймні він стверджує).

"Я особисто хотів зробити першу в світі біржу Binance, яка захоплює хакерів. Це буде надзвичайно позитивно для репутації Binance", - сказав Плантон, який додав:

"Я повідомив [Ліну], що маю інсайдерську інформацію, таку як інсайдерська інформація, деталі спілкування інсайдера з аутсайдерами та навіть інсайдерська фотографія. Я повідомив йому, що у мене є деталі хакерів — інформація про сервер, їх особи, номери телефонів ETC".

У повідомленні від Ліна, яким Платон поділився з CoinDesk, CGO готовий заплатити за інформацію, яка може призвести до арешту хакерів, інсайдерів і повернення коштів.

Однак у цьому ж повідомленні Лін відмовив Платону в «кампанії FUD», яку він проводив.

«Як я вже сказав, ми T реагуємо на вимагання», — сказав Лін. У попередніх бесідах з CoinDesk Платон стверджував, що він незалежно один від одного багатий, а оператор Крипто , за його словами, на одну третину менший за Binance.

Він також сказав, що його T цікавить фінансова винагорода. "Коли мені потрібні гроші, я можу просто зламати баланс ONE обмінного рахунку (хакерського). Я міг би легко отримати більше 600 або 700 монет, зламавши гаманець хакера", - сказав Платон.

«Але я T торкнувся жодного пенні, спостерігаючи, як все більше і більше монет відмиваються та переміщуються, щоб видалити слід», — сказав він, стверджуючи, що T хотів повідомляти хакерам, що він на їхньому сліді.

Розмова обривається

Незважаючи на нібито альтруїстичні цілі Платона, CoinDesk пізніше дізнався від представників Platon і Binance, що ймовірний хакер вимагав 300 Bitcoin, приблизно 3 мільйони доларів за обмінним курсом на липень, сплачених 50 частинами за його інформацію.

Проте десь на цьому шляху переговори зірвалися. 22 липня, лише через п’ять днів після того, як вони спочатку зв’язалися з CoinDesk, Платон заявив, що припинив переговори з Binance.

«За близько місяця переговорів вони T заплатили жодної копійки», — сказав Платон. «Моя угода з Binance розірвана».

Саме тоді розмови Платона з Binance переросли в переговори щодо заручників, коли Платон погрожував видати будь-яку інформацію про клієнтів, яку він отримав.

Платон надав наступний передбачуваний обмін з Тедом Ліном, де переговори зірвалися:

Тед Лін, [20.07.19 19:54]





Я бачу, що ви вже подали інформацію, яку маєте, у ЗМІ



Тед Лін, [20.07.19 19:59]



враховуючи, що збиток від вашої кампанії FUD уже завдано, будь-яка винагорода, яку ви просите за інформацію, буде значно меншою. Як я вже сказав, ми T реагуємо на побори. Але ми готові отримати більше інформації про злочинців, якщо у вас є корисна інформація, яка може дозволити нам посадити поганих хлопців за грати та повернути кошти.




Платон, [21.07.19 16:53]



як я вже сказав, мені T потрібні ваші гроші




Платон, [21.07.19 16:53]



я вже поза угодою



Платон [21.07.19 16:54]



я теж не чекаю вашої реакції.



Платон, [21.07.19 16:59]



але мені подобається бачити реакцію інсайдерів і хакерів, коли публікуються новини. ще раз мене не цікавить твоя реакція.



Тед Лін, [21.07.19 19:04]



Я думав, ти хочеш, щоб цих хакерів спіймали?



Платон [21.07.19 19:11]



я хотів. але не зараз.



Платон [21.07.19 19:12]



я радше відходжу й KEEP дивитися.




Тед Лін, [21.07.19 19:19]



Ми все ще зацікавлені в оплаті інформації, яка може призвести до арешту хакерів, інсайдерів, повернення коштів.



Тед Лін, [21.07.19 19:19]



Повідомте нас, якщо у вас є додаткова інформація, яка може їх досягти.



Тед Лін, [21.07.19 19:20]



Ми перевіряли інформацію, яку ви маєте, перш ніж ви вирішили не говорити.



Тед Лін, [21.07.19 19:21]



Повідомте мене, якщо ви передумаєте й захочете продовжити.



Тед Лін, [21.07.19 19:21]



Дякуємо за вашу допомогу.



Платон [21.07.19 19:28]



Тоді заплати мені.

«Моє рішення вести переговори з Binance було неправильним, — сказав він, — вони не ті люди… тому я просто опублікую всі дані для його клієнтів».

Дійсно, розмовляючи з представником Binance 22 липня, Платон сказав, що "наразі мене цікавлять ті хакери та інсайдери у вашій компанії. Я хотів би побачити їхню реакцію, коли новина буде опублікована".

5 серпня погрози Платона стали реальністю, коли він завантажив на відкритий файлообмінний сайт дамп документів із 500 фотографіями для KYC 166 людей під псевдонімом «Guardian M».

У середу вранці групі Telegram було надіслано другу копію, яка містила сотні зображень людей зі своїми ідентифікаторами.

Пояснення Платона просте: вони думають, що чинять правильно.

«Люди KEEP запитують: «Чому ви публікуєте ті фотографії KYC?», «Як ви їх отримали?» Причина, по якій я випускаю ці KYC, проста: щоб попередити вас, людей, які працюють на Binance», — написали вони. «Якби мені потрібні були гроші, я б продав це підпільно, а не для того, щоб видавати».

Зображення через Twitter. Зображення заголовка та внутрішні зображення через CoinDesk.

Platon не відповів на запити щодо подальших коментарів і не вказав, чи будуть вони публікувати більше. Ми звернулися до Binance, щоб отримати коментар. Джон Біггс надавав маркетингову та бізнес-допомогу Віктору Шпаку з VisibleMagic, розробнику, який аналізував код Binance.