เหตุการณ์ด้านความปลอดภัยดิจิทัลที่ร้ายแรงเกิดขึ้นเกี่ยวกับ Raj Gokal ผู้ร่วมก่อตั้งบล็อกเชน Solana ซึ่งข้อมูลส่วนตัวที่ละเอียดอ่อนได้นำเสนอออนไลน์ผ่านบัญชีโซเชียลมีเดียของคนดังที่ถูกแฮ็ก
เมื่อวันที่ 25 พฤษภาคม บัญชี Instagram อย่างเป็นทางการของกลุ่มฮิปฮอป Migos ถูกเจาะ และแฮ็กเกอร์ใช้แพลตฟอร์มที่มีผู้ติดตาม 13 ล้านรายแบ่งปันเอกสารระบุตัวตนของ Gokal รวมถึงภาพพาสปอร์ตและใบขับขี่เป็นส่วนหนึ่งของแผนกรรโชกเรียกค่าไถ่ Bitcoin 40 เหรียญ (ประมาณ 2.7 ล้านเหรียญสหรัฐ)
แฮ็กเกอร์อัปโหลดโพสต์อย่างน้อยเจ็ดโพสต์ที่มีรูปภาพส่วนตัวของ Gokal และภรรยาของเขา แสดงเอกสารการยืนยันตัวตน (KYC) ที่ใช้บ่อยโดยผู้แลกเปลี่ยนสกุลเงินดิจิทัล โพสต์ถูกระบุด้วยข้อความข่มขู่ เช่น "คุณควรจ่าย 40 BTC" และมีข้อมูลติดต่อส่วนบุคคล
มีโพสต์หนึ่งเผยแพร่หมายเลขโทรศัพท์มือถือของ Gokal โดยแฮ็กเกอร์เชิญให้ผู้ใช้งานสแปมเขา โพสต์อื่นอ้างถึงบุคคลที่ชื่อ "Arvind" ที่อาจเกี่ยวข้องกับการถือครองบล็อกเชนของ Gokal หรือเกี่ยวพันอย่างไม่ตรงไปตรงมา
โพสต์ที่ก่อกวนเหล่านี้คงอยู่ประมาณ 90 นาทีก่อนที่ Meta ซึ่งเป็นบริษัทแม่ของ Instagram จะลบเนื้อหาและยึดบัญชีกลับคืน ในช่วงเวลาที่ถูกแฮ็ก ไบโอของ Instagram ของ Migos ถูกแก้ไขเพื่อโปรโมตเหรียญมีมและลิงก์ไปยังกลุ่ม Telegram ที่โฆษณาเพลงที่ยังไม่ปลดปล่อย สิ่งนี้บ่งบอกถึงแรงจูงใจทางการเงินและการโปรโมตที่ผสมกันเบื้องหลังการละเมิดข้อมูลนี้
การโจมตีเป้าหมายหรือการรั่วไหลของข้อมูลวงกว้าง?
นักสืบทางบล็อกเชน ZachXBT ให้ความเห็นเกี่ยวกับเหตุการณ์ โดยระบุว่าการโจมตีมีแนวโน้มเป็นผลจากความพยายามทางสังคมวิศวกรรมที่ยาวนานซึ่งมุ่งเป้าไปที่บัญชีของ Gokal ในช่วงสัปดาห์ที่ผ่านมาก่อนหน้านี้ ตามข้อมูลของ ZachXBT ผู้โจมตีเริ่มต้นจากการพยายามขูดขโมย Gokal โดยตรง และเมื่อไม่สำเร็จ พวกเขาจึงเพิ่มการแสดงผลโดยการแฮ็กบัญชี Instagram ของบุคคลที่สามยอดนิยมเพื่อเพิ่มการมองเห็นของประชาชนให้สูงสุด
การประเมินนี้สอดคล้องกับคำเตือนก่อนหน้านี้ที่ Gokal เองได้ออกประกาศบนแพลตฟอร์มโซเชียล X ที่อ้างถึงความพยายามในการบุกรุกหลายครั้งบนอีเมล สื่อสังคม เทคโนโลยีบริการของเขา และกระตุ้นให้ประชาชนรับรู้การติดต่อที่น่าสงสัยที่อาจปรากฏเพิ่มเติมจากเขา
แหล่งที่มาของการรั่วไหลข้อมูล KYC ยังไม่ได้รับการยืนยัน แต่ลักษณะของภาพที่มีความละเอียดสูงและมีบัตรประจำตัวออกโดยรัฐบาลพร้อมกับภาพเซลฟี่ทำให้เกิดการคาดการณ์ว่าข้อมูลอาจจะถูกขโมยจากแพลตฟอร์มคริปโตที่มีการรวมศูนย์ มีผู้ตั้งข้อสงสัยอาจมีความเชื่อมโยงกับการรั่วไหลข้อมูลของ Coinbase ที่เพิ่งเกิดขึ้น ซึ่งรายงานว่ามีผลกระทบต่อฐานผู้ใช้ที่เคลื่อนไหวมากประมาณ 1% ต่อเดือนของการแลกเปลี่ยน
Coinbase ได้แสดงความยอมรับเหตุการณ์ความปลอดภัยมาก่อนหน้านี้ ที่ภัยคุกคามเรียกค่าไถ่ถึง 20 ล้านดอลลาร์สำหรับข้อมูลลูกค้าที่ถูกขโมย บริษัทไม่ได้ทำตามข้อเรียกร้อง อย่างไรก็ตาม ขณะนี้ยังไม่มีหลักฐานที่ยืนยันการเชื่อมโยงกันระหว่างการรั่วไหลข้อมูลของ Gokal กับการละเมิด Coinbase ไม่ว่า Coinbase หรือ Meta ไม่ได้แสดงความคิดเห็นเกี่ยวกับการเชื่อมโยงใดๆ
ข้อมูล KYC
เหตุการณ์นี้เน้นความกังวลที่เพิ่มขึ้นเกี่ยวกับการดูแลและความเสี่ยงของข้อมูล KYC ภายในระบบคริปโต อันเป็นผลจากข้อกำหนดที่บังคับให้แพลตฟอร์มเก็บรวบรวมเอกสารระบุตัวตนที่ละเอียดอ่อนสำหรับการนำผู้ใช้ใหม่เข้าร่วม ซึ่งทำให้พวกเขาเป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตีที่มีความชำนาญ การรั่วไหลของข้อมูล KYC มักจะทำอันตรายได้มากกว่าการละเมิดรหัสผ่านเพราะเอกสารที่เกี่ยวข้อง - พาสปอร์ต ใบขับขี่ เซลฟี่ - ไม่สามารถเปลี่ยนแปลงหรือยกเลิกได้ง่ายๆ
นักวิเคราะห์คนหนึ่งตั้งข้อสังเกตว่าการรั่วไหลครั้งนี้ทำให้เกิดการละเมิดความเป็นส่วนตัวที่มากกว่าปกติตามปกติของ KYC โดยระบุว่า "นี่ไม่ใช่แค่การรั่วที่อยู่" พวกเขากล่าว "มันเป็นการพิสูจน์ตัวตนด้วยไบโอเมตริกซ์ที่สามารถนำกลับมาใช้ใหม่ได้สำหรับการฉ้อโกง, ปลอมลึก, หรื
อแบล็คเมล์"
ในขณะที่ระบบ Web3 ยังพึ่งพาอย่างหนักแน่นในแพลตฟอร์มการแลกเปลี่ยนและตัวกลางการปฏิบัติตามข้อบังคับสำหรับการเข้าถึงและสภาพคล่อง ผู้ใช้และผู้ก่อตั้งเองยังคงเผชิญกับความเสี่ยงที่เกี่ยวข้องกับการเปิดเผยข้อมูล KYC ขณะที่โปรโตคอลแบบกระจายได้เสนอความเป็นส่วนตัวและการดูแลตนเองเป็นหลัก แต่การเชื่อมโยงกับหน่วยงานที่มีการกำกับต้องนำกลับเข้ามาเพราะจุดเริ่มต้นใหม่ของการล้มเหลวแบบดั้งเดิม
การแฮ็กอย่างมีชื่อเสียง
การแฮ็ค Instagram ของ Migos เป็นส่วนหนึ่งของการแบ่งบรรทัดที่แพร่หลายซึ่งบัญชีโซเชียลมีเดียที่มีชื่อเสียงถูกใช้ประโยชน์ในการแจกจ่ายเนื้อหาอันตราย ผลักดันเหรียญปลอม หรือการรั่วไหลข้อมูลที่ละเอียดอ่อน ในหลายๆ กรณี แฮกเกอร์มุ่งเป้าไปที่การเผยแพร่อย่างกว้างขวางเพื่อนำไปสู่การปั๊มโทเค็นหรือแผนการหลอกลวง ซึ่งในกรณีนี้กลับเบี่ยงเบนโดยการใช้เป็นเครื่องมือการโต้แย้งการรับผิดชอบต่อสาธารณะเมื่อข้อเรียกร้องกรรโชคไม่ได้ผลสำเร็จ
ในช่วงหลายเดือนที่ผ่านมา การละเมิดสื่อสังคมที่เกี่ยวข้องกับคริปโตได้รวมถึง:
- การเจาะเข้าบัญชี X อย่างเป็นทางการของคณะกรรมการตลาดหลักทรัพย์สหรัฐฯ ในเดือนมกราคม โดยรายงานเท็จว่ามีการอนุมัติกองทุน Bitcoin ETF
- การโจมตีบัญชีของ MicroStrategy ในเดือนมีนาคมเพื่อโปรโมตโทเค็นปลอมซึ่งเก็บหกตัวเลขในไม่กี่นาที
- แฮ็ก Instagram ของผู้มีอิทธิพลหลายคนเพื่อเปิดตัวมีมคอยน์ปั๊ม-แอนด์-ดัมป์
นักวิจัยด้านความปลอดภัยได้ตั้งข้อสังเกตว่าหลายการโจมตีเหล่านี้ใช้การผสมผสานระหว่างการสลับซิม, การลวงลเอาข้อมูลและมัลแวร์ การวิศวกรรมสังคมยังคงเป็นหนึ่งในเครื่องมือที่มีประสิทธิภาพที่สุดในการโจมตีแม้กระทั่งบุคคลที่มีความชำนาญด้านเทคโนโลยี โดยเฉพาะเมื่อมีนักช่วยส่วนตัว บริการการส่งต่ออีเมล หรือบัญชีทางบริษัทเข้ามาเกี่ยวข้อง
ช่องโหว่ทางกฎหมาย
แม้เกิดเหตุการณ์ในระดับนี้ แต่การบังคับใช้และการแก้ไขทางกฎหมายยังคงเป็นแบบกระจัดกระจาย โครงสร้างของระบบบล็อกเชนทำให้สามารถตรวจสอบย้อนการทำธุรกรรมได้ แต่การเรียกคืนทรัพย์สินเป็นเรื่องยาก ขณะเดียวกันแพลตฟอร์มอย่าง Instagram หรือ X ยังอยู่ภายใต้ภาระหน้าที่ที่จำกัดในการแจ้งผู้ติดตามหรือชดใช้ต่อผู้เสียหายหลังจากการบุกรุกบัญชี หากไม่มีข้อมูลส่วนตัวเพิ่มเติมที่รั่วไหลภายใต้กฎหมายการคุ้มครองข้อมูลของเขตอำนาจศาลที่เจาะจง
การเปิดเผยข้อมูล KYC ของผู้ก่อตั้งบล็อกเชนอาจมีผลกระทบต่อการกำกับดูแลและความปลอดภัยของเครือข่าย ขณะที่ Solana เองไม่เกี่ยวข้องโดยตรง เหตุการณ์นี้อาจจะเพิ่มความกังวลเกี่ยวกับการโจมตีกำหนดเป้าหมายไปที่บุคคลสาธารณะและความเสี่ยงในระดับชื่อเสียงและปฏิบัติการที่พวกเขานำมาสู่โปรโตคอล
Meta ผู้เป็นเจ้าของ Instagram ยังไม่ได้ออกแถลงการณ์สาธารณะเกี่ยวกับการละเมิด แม้ว่าเหตุการณ์นี้จะมีชื่อเสียงและมีความเสี่ยงที่อาจจะเปิดเผยมูลค่าบ่งบอกตัวตนของคนหลายล้านคน Gokal เองก็ยังไม่ได้ออกแสดงความคิดเห็นรายละเอียดต่อสาธารณะ ณ เวลาที่รายงานนี้
ความโปร่งใสจากแพลตฟอร์มที่รวมการกำกับดูแลยังคงไม่สม่ำเสมอ โดยมีบริษัทเทคโนโลยีขนาดใหญ่มากมายที่เปิดเผยการละเมิดเฉพาะเมื่อกฎหมายบังคับหรือเมื่อผลกระทบกลายเป็นสิ่งที่เห็นกันทั่วไปในที่สาธารณะ ในกรณีที่ไม่มีการเปิดเผยประสานกัน ผู้ใช้งานยังต้องพึ่งพานักสืบอิสระเช่น ZachXBT และนักข่าวอิสระเพื่อทำความเข้าใจในการเข้าถึงข้อมูลลึกต่างๆ
ความคิดสุดท้าย
การละเมิดข้อมูลส่วนตัวของ Raj Gokal ผ่านบัญชี Instagram ของคนดังที่ไม่เกี่ยวข้องเน้นให้เห็นช่องทางความเสี่ยงในวงการคริปโต: การบรรจบกันของความอ่อนเปราะบางทางโซเชียลมีเดีย, การเก็บข้อมูล KYC แบบรวมศูนย์, และการกรรโชค
แม้ว่า Gokal อาจจะไม่จ่ายค่าไถ่ 40 BTC การเปิดเผยข้อมูลบ่งบอกตัวตนที่ละเอียดอ่อนไปต่อสาธารณะของเขาแสดงถึงความเสี่ยงทั้งทางส่วนตัวและทางอาชีพระยะยาว
เหตุการณ์นี้เพิ่มไปยังรายการขนาดใหญ่ของการโจมตีที่ขับเคลื่อนด้วยข้อมูลในวงการบล็อกเชนและอาจบังคับให้ผู้นำโครงการและนักลงทุนต้องประเมินใหม่ว่าพวกเขาควบคุมตัวตนดิจิทัลและการปฏิบัติด้านความปลอดภัยของพวกเขาอย่างไร มันยังเน้นความต้องการในการควบคุมที่เข้มงวดขึ้นรอบๆ การเก็บข้อมูล KYC จากบุคคลที่สาม และการประเมินการเปิดเผยเหตุการณ์ที่แข็งแกร่งขึ้นจากแพลตฟอร์มที่จัดการกับข้อมูลผู้ใช้
แม้วงการจะเติบโต คำถามไม่ใช่แค่การป้องกันการโจมตีบล็อกเชนแต่ยังรวมถึงการลดความเสี่ยงนอกสายที่กำลังแทรกเข้ามากับการครอบครองสินทรัพย์ดิจิทัล