Fractal ID数据泄露事件影响约50,000用户

数字身份验证服务提供商Fractal ID近日披露了一起数据泄露事件，影响约0.5%的用户。根据该公司官网和X平台的公告，受影响的用户可能超过50,000人。

泄露数据范围

此次泄露的API包含敏感用户信息，包括姓名、电子邮件地址、钱包地址、电话号码、物理地址以及上传的KYC文件图像。Fractal ID的用户包括多个知名Web3项目，如Polygon ID、Ripple、XRP Ledger、Avalanche、Gnosis、Near、Aurora、Acala、Polymath、BNB Chain、Lukso、Aleph Zero和Arbitrum Foundation。

事件经过

公司报告称，事件发生在2024年7月14日，当时未经授权的第三方访问了操作员账户，并执行了API脚本以提取用户的个人信息。泄露始于UTC时间05:14，持续了约两小时。

应对措施

Fractal ID表示已立即采取行动减轻泄露影响，并实施了额外的安全措施。公司已向相关数据保护机构和网络犯罪警察部门报告了该事件。

Fractal ID强调，此次事件仅限于其内部环境，并未影响其客户的系统或使用其服务的产品。然而，公司建议受影响的用户对请求个人信息的未授权通信保持警惕，因为泄露的数据可能会被第三方共享或用于商业目的。

公司在处理此次事件时，首先联系了受影响的用户，随后通知了受影响的客户，最后才发布公开声明。

社区反应与质疑

这一事件引发了一些加密社区成员的批评。区块链调查员ZachXBT质疑该公司保护用户数据的能力，并建议使用Fractal ID产品的团队考虑替代方案。

公司官网宣称其产品消除了"中心化平台的风险"，这引发了对Fractal去中心化性质的质疑。Fractal表示其使命基于"数据的真正所有权"，但对其开发者文档的审查显示，所有用户信息似乎都可以通过一次API调用访问。

一旦用户授权应用程序访问其数据，后续的数据请求似乎不再需要获得许可。因此，很难看出用户如何拥有数据的主权。攻击者访问了一个中心化端点，导致最敏感的用户数据丢失，而无需用户私钥签名的任何消息。

潜在危害

数千用户的身份信息（如护照和驾照扫描件）在此次泄露中被窃取，这并非由所有者"选择性共享"。此次泄露可能造成的损害范围广泛。

最敏感的失窃数据可能被用于创建欺诈账户、发起网络钓鱼攻击、试图入侵现有账户，甚至更广泛的身份盗窃。

攻击者可能利用姓名、电子邮件地址和钱包地址精心设计冒充方案或发起复杂的社交工程攻击。物理地址可能被用于现实世界的跟踪、骚扰，甚至更严重的犯罪，针对加密货币专业人员的入室盗窃报告正在上升。泄露的钱包地址可能被用于追踪交易历史或瞄准高价值账户。

代币表现

尽管Fractal用户数据的"去中心化"方面仍存疑问，但该公司的一个明确Web3元素——其代币(FCL)的价格仅受到轻微影响，下跌2.9%。该代币24小时交易量不足3,000美元，市值为144,037美元，今年以来已下跌43%。

用户建议

受此事件影响的用户应保持警惕，密切关注其账户，并考虑更新其各种在线服务的安全措施，以减轻潜在风险。

我的自选

Web3 KYC服务商Fractal ID数据泄露，逾5万用户护照信息外泄