Un grave incidente di sicurezza digitale ha coinvolto Raj Gokal, co-fondatore della blockchain Solana, i cui dati personali sensibili sono stati trapelati online tramite un account di social media di celebrità compromesso.
Il 25 maggio, la pagina Instagram ufficiale del gruppo hip-hop Migos è stata compromessa, e gli hacker hanno utilizzato la piattaforma con 13 milioni di follower per diffondere documenti d'identità espliciti di Gokal, comprese immagini di passaporto e patente di guida, come parte di uno schema di estorsione che richiedeva 40 Bitcoin (circa $2,7 milioni).
Gli attaccanti hanno caricato almeno sette post contenenti immagini private di Gokal e di sua moglie, mostrando materiali di verifica Know Your Customer (KYC) comunemente utilizzati dagli exchange di criptovalute. I post erano sottotitolati con messaggi minacciosi come "Avresti dovuto pagare i 40 BTC" e includevano quello che sembrava essere un contatto personale.
Un post ha esposto il numero di telefono mobile di Gokal, incitando i follower a inondarlo di messaggi. Un altro faceva riferimento a un individuo di nome "Arvind", potenzialmente collegato alle partecipazioni blockchain di Gokal o coinvolto tangenzialmente.
I post offensivi sono rimasti online per circa 90 minuti prima che Meta, la società madre di Instagram, rimuovesse il contenuto e riprendesse il controllo dell'account. Durante l'hackeraggio, la biografia di Instagram di Migos è stata modificata per promuovere una meme coin e i link sono stati condivisi a gruppi Telegram che pubblicizzavano musica inedita, suggerendo una mescolanza di motivi finanziari e promozionali dietro la violazione.
Attacco mirato o violazione di dati più ampia?
L'investigatore blockchain ZachXBT ha commentato l'incidente, affermando che l'attacco era probabilmente il risultato di uno sforzo di ingegneria sociale mirato agli account personali di Gokal durante la settimana precedente. Secondo ZachXBT, gli attaccanti hanno inizialmente tentato di estorcere Gokal direttamente e, quando non hanno avuto successo, hanno aumentato l'esposizione dirottando un account Instagram di terze parti popolare per massimizzare la visibilità pubblica.
Questa valutazione è in linea con un avviso precedentemente emesso da Gokal stesso sulla piattaforma social X, dove ha rivelato multipli tentativi di intrusione nelle sue email, nei suoi social media e negli account dei servizi tecnologici, esortando il pubblico a ignorare qualsiasi comunicazione sospetta che potrebbe sembrare provenire da lui.
Sebbene la fonte diretta dei materiali KYC trapelati rimanga non confermata, la natura delle immagini - ID emessi dal governo ad alta risoluzione insieme a selfie - ha sollevato speculazioni che i dati potrebbero essere stati compromessi da una piattaforma di criptovaluta centralizzata. Gli osservatori hanno ipotizzato un potenziale collegamento con la recente violazione dei dati di Coinbase, che avrebbe colpito circa l'1% della base utenti attivi mensili dell'exchange.
Coinbase aveva precedentemente riconosciuto un incidente di sicurezza in cui gli attori delle minacce richiedevano un riscatto di $20 milioni in cambio di dati dei clienti rubati. L'azienda non si è conformata alla richiesta. Tuttavia, attualmente non ci sono prove verificate che colleghino la violazione di Coinbase all'esposizione dei dati di Gokal. Né Coinbase né Meta hanno commentato eventuali sovrapposizioni.
Dati KYC
L'incidente sottolinea le crescenti preoccupazioni riguardo alla custodia e alla vulnerabilità dei dati KYC nel ecosistema crypto. Poiché i requisiti normativi obbligano le piattaforme a raccogliere documenti identificativi sensibili per l'onboarding degli utenti, diventano bersagli attraenti per attacchi sofisticati. La fuga di dati KYC è spesso più dannosa delle violazioni delle password, poiché i documenti coinvolti - passaporti, patenti di guida, selfie - non possono essere facilmente cambiati o revocati.
Un analista ha osservato che questa fuga rappresentava una violazione della privacy più estrema rispetto agli incidenti KYC tipici. "Non si tratta solo di una fuga di indirizzo," hanno notato. "Si tratta di una prova biometrica di identità che può essere riutilizzata per frodi, deepfake o ricatti."
Con gli ecosistemi Web3 che ancora si affidano pesantemente agli exchange centralizzati e agli intermediari di conformità per l'accesso e la liquidità, utenti e fondatori affrontano rischi crescenti legati all'esposizione di dati KYC. Sebbene i protocolli decentralizzati abbiano a lungo evidenziato la privacy e l'autocustodia come principi fondamentali, la loro integrazione con entità regolamentate reintroduce i punti di guasto tradizionali.
Hack di alto profilo
L'hackeraggio di Instagram di Migos fa parte di un modello più ampio in cui account di social media ad alta visibilità vengono sfruttati per distribuire contenuti dannosi, pubblicizzare monete fraudolente o trapelare dati sensibili. In molti casi, gli hacker mirano a una vasta esposizione per guidare i rialzi dei token o le truffe. Questo caso, tuttavia, si è distinto servendo principalmente come strumento di ritorsione pubblica quando una richiesta di estorsione sarebbe fallita.
Negli ultimi mesi, le violazioni di social media correlate alle criptovalute hanno incluso:
-
La compromissione dell'account ufficiale X della SEC statunitense a gennaio, annunciando falsamente approvazioni ETF Bitcoin.
-
Una violazione a marzo dell'account X di MicroStrategy, utilizzato per promuovere un token falso che ha incassato sei cifre in pochi minuti.
-
Molteplici hack di influencer su Instagram per lanciare pump-and-dump di meme coin.
I ricercatori di sicurezza hanno notato che molti di questi attacchi coinvolgono una combinazione di SIM swap, phishing e malware. L'ingegneria sociale rimane uno degli strumenti più efficaci per compromettere anche individui esperti di tecnologia, specialmente quando sono coinvolti assistenti personali, servizi di inoltro email o account aziendali.
Lacune legali
Nonostante la portata e le implicazioni di incidenti come questo, l'applicazione della legge e i rimedi legali rimangono frammentari. La natura decentralizzata della blockchain rende fattibile la tracciatura delle transazioni, ma il recupero degli asset è difficile. Nel frattempo, piattaforme come Instagram o X sono sotto limitati obblighi di notificare ai follower o compensare le vittime a seguito di compromissioni di account, a meno che ulteriori dati personali non vengano trapelati sotto le leggi specifiche sulla protezione dei dati delle giurisdizioni.
L'esposizione dei dati KYC di un fondatore di blockchain può anche avere implicazioni per la governance e la sicurezza della rete. Sebbene Solana stesso non sia direttamente implicato, l'incidente solleva preoccupazioni sugli attacchi mirati a personaggi pubblici e sui potenziali rischi reputazionali e operativi che introducono nei protocolli.
Meta, che possiede Instagram, non ha rilasciato una dichiarazione pubblica sulla violazione, nonostante la natura di alto profilo dell'incidente e il potenziale di esposizione di informazioni identificabili personalmente (PII) a milioni di utenti. Gokal non ha ancora fatto commenti pubblici dettagliati al momento della pubblicazione.
La trasparenza delle piattaforme centralizzate rimane incoerente, con la maggior parte delle grandi aziende tecnologiche che rivelano le violazioni solo quando legalmente obbligate o quando le conseguenze diventano pubblicamente evidenti. In assenza di una divulgazione coordinata, gli utenti devono fare affidamento su investigatori di terze parti come ZachXBT e giornalisti indipendenti per avere una comprensione dell'accaduto.
Riflessioni finali
La violazione delle informazioni personali di Raj Gokal tramite un account Instagram di celebrità non correlato evidenzia un panorama di minacce più ampio nello spazio crypto: la convergenza delle vulnerabilità dei social network, l'archiviazione centralizzata dei dati KYC e le tattiche di estorsione.
Sebbene Gokal possa non aver pagato il riscatto di 40 BTC, il rilascio pubblico dei suoi materiali di identità sensibili rappresenta una responsabilità personale e professionale a lungo termine.
L'evento si aggiunge a un elenco crescente di attacchi basati sui dati nel settore blockchain e potrebbe costringere i leader dei progetti e gli investitori a rivalutare come gestiscono sia le loro identità digitali che le pratiche di sicurezza. Sottolinea anche la necessità di controlli più rigorosi intorno all'archiviazione di terze parti dei KYC e pratiche di divulgazione degli incidenti più robuste da parte delle piattaforme che gestiscono i dati degli utenti.
Man mano che l'industria matura, la domanda non è solo come prevenire gli exploit della blockchain, ma come mitigare i rischi off-chain che sempre più si intersecano con la proprietà degli asset digitali.