В обход санкций иранская криптобиржа Bit24.cash сливает паспорта и банковские карты пользователей

[Artifact]

Сервис случайно раскрыл конфиденциальные данные около 230 000 граждан Ирана.
Из-за ограниченного доступа к зарубежным финансовым рынкам Иран активно начал использовать криптовалюту. В прошлом году иранские криптовалютные биржи провели транзакции на общую сумму почти $3 млрд. Почти весь объем входящей криптовалюты в Иране соответствует требованиям Know Your Customer (KYC).
Bit24.cash, иранская внебиржевая криптовалютная биржа, поддерживающая более 300 криптовалют, не является исключением. В ходе процесса KYC, целью которого является пресечение преступной деятельности, пользователи должны подтвердить свою личность, загрузив официальные документы. Учитывая конфиденциальный характер этих документов, передаваемых на биржи, пользователи по праву ожидают, что организации будут надежно их защищать.
Однако исследователи Cybernews обнаружили неправильно настроенный экземпляр MinIO (высокопроизводительная система хранения объектов), случайно предоставляющий доступ к корзинам S3 (контейнерам облачного хранилища), содержащим данные KYC платформы. Неправильная конфигурация раскрыла данные около 230 000 иранских граждан, предоставив их письменное согласие с правилами, а также паспорта, удостоверения личности и кредитные карты.

Фотография пользователя с заявлением о согласии, удостоверением личности и банковской картой
Bit24.cash не предоставила комментариев по ситуации, однако экземпляр на данный момент больше недоступен. Исследователи Cybernews подчеркнули критический характер скомпрометированных данных проверки KYC на платформах обмена криптовалютами. Специалисты подчеркнули, что злоумышленники могут использовать раскрытые данные для кражи личных данных, мошеннических транзакций и фишинговых атак.
Кроме того, имея доступ к таким всеобъемлющим личным и финансовым данным, киберпреступники могут выдавать себя за отдельных лиц, получать несанкционированный доступ к учетным записям, выполнять мошеннические транзакции и потенциально причинять существенный финансовый и личный вред пострадавшим пользователям.