Một sự cố bảo mật số lớn đã xảy ra liên quan đến Raj Gokal, đồng sáng lập blockchain Solana, dữ liệu cá nhân nhạy cảm đã bị rò rỉ trực tuyến thông qua một tài khoản mạng xã hội của người nổi tiếng bị chiếm đoạt.
Vào ngày 25 tháng 5, trang Instagram chính thức của nhóm hip-hop Migos bị xâm nhập, và tin tặc đã sử dụng lượng người theo dõi 13 triệu của nền tảng để chia sẻ tài liệu nhận dạng nhạy cảm của Gokal, bao gồm hình ảnh hộ chiếu và bằng lái xe, như một phần của kế hoạch tống tiền đòi 40 Bitcoin (khoảng 2,7 triệu USD).
Những kẻ tấn công đã tải lên ít nhất bảy bài đăng chứa hình ảnh cá nhân của Gokal và vợ, hiển thị tài liệu xác minh Know Your Customer (KYC) thường được sử dụng bởi các sàn giao dịch tiền điện tử. Các bài đăng được chú thích với các thông điệp đe dọa như "Bạn nên trả 40 BTC" và bao gồm những gì dường như là thông tin liên lạc cá nhân.
Một bài đăng đã tiết lộ số điện thoại di động của Gokal, với việc tin tặc thúc giục người theo dõi gửi spam cho anh ta. Một bài đăng khác đề cập đến một cá nhân tên là "Arvind," có thể liên quan đến việc nắm giữ blockchain của Gokal hoặc tham gia gián tiếp.
Các bài đăng tấn công vẫn tồn tại trong khoảng 90 phút trước khi Meta, công ty mẹ của Instagram, xóa nội dung và khôi phục quyền kiểm soát tài khoản. Trong thời gian bị hack, tiểu sử Instagram của Migos đã được sửa đổi để quảng bá một đồng tiền meme, và liên kết được chia sẻ tới các nhóm Telegram quảng bá âm nhạc chưa được phát hành, gợi ý về một sự pha trộn giữa động cơ tài chính và quảng bá đằng sau vụ vi phạm.
Cuộc Tấn Công Có Mục Tiêu hay Vi Phạm Dữ Liệu Rộng Hơn?
Nhà điều tra blockchain ZachXBT đã bình luận về vụ việc, khẳng định vụ tấn công có khả năng là kết quả của một nỗ lực kỹ nghệ xã hội kéo dài nhằm vào các tài khoản cá nhân của Gokal trong tuần trước đó. Theo ZachXBT, các kẻ tấn công ban đầu đã cố gắng tống tiền Gokal trực tiếp và khi không thành công, đã leo thang việc phơi bày bằng cách chiếm đoạt tài khoản Instagram của bên thứ ba phổ biến để tối đa hóa sự chú ý công cộng.
Đánh giá này phù hợp với một cảnh báo trước đó do chính Gokal đưa ra trên nền tảng xã hội X, nơi ông đã tiết lộ nhiều lần cố gắng xâm nhập vào email, mạng xã hội và các tài khoản dịch vụ công nghệ của ông, kêu gọi công chúng bỏ qua bất kỳ liên lạc đáng ngờ nào có thể bắt nguồn từ ông.
Trong khi nguồn gốc trực tiếp của các tài liệu KYC bị rò rỉ vẫn chưa được xác nhận, bản chất của những hình ảnh - ID chính phủ được phát hành chất lượng cao cùng với selfies - đã thúc đẩy suy đoán rằng dữ liệu có thể đã bị xâm phạm từ một nền tảng tiền điện tử tập trung. Các nhà quan sát đã nêu ra một liên kết tiềm năng đến vụ vi phạm dữ liệu Coinbase gần đây, theo thông tin báo cáo đã ảnh hưởng đến khoảng 1% số người dùng hoạt động hàng tháng của sàn giao dịch.
Coinbase trước đó đã thừa nhận một sự cố bảo mật trong đó các tác nhân đe dọa yêu cầu số tiền chuộc 20 triệu USD để đổi lấy dữ liệu khách hàng bị đánh cắp. Công ty không tuân theo yêu cầu này. Tuy nhiên, hiện không có bằng chứng đã xác thực cho thấy liên quan giữa vụ vi phạm Coinbase và việc phơi bày dữ liệu của Gokal. Cả Coinbase lẫn Meta đều chưa có bình luận nào về sự chồng chéo này.
Dữ Liệu KYC
Sự cố nhấn mạnh những lo ngại ngày càng tăng về quyền giám sát và sự dễ bị tổn thương của dữ liệu KYC trong hệ sinh thái tiền điện tử. Khi các yêu cầu quy định buộc các nền tảng thu thập tài liệu nhận dạng nhạy cảm để trở thành người dùng, họ trở thành mục tiêu hấp dẫn cho các kẻ tấn công tinh vi. Việc rò rỉ dữ liệu KYC thường gây thiệt hại hơn so với vi phạm mật khẩu, vì các tài liệu liên quan
- hộ chiếu, bằng lái xe, selfies - không thể dễ dàng thay đổi hoặc thu hồi.
Một nhà phân tích nhận xét rằng vụ rò rỉ này đại diện cho một sự vi phạm quyền riêng tư nghiêm trọng hơn so với các sự cố KYC điển hình. "Đây không chỉ là rò rỉ địa chỉ," họ lưu ý. "Nó là bằng chứng nhận dạng sinh trắc có thể tái sử dụng để lừa đảo, tạo deepfakes, hoặc tống tiền."
Với các hệ sinh thái Web3 vẫn phụ thuộc nhiều vào các sàn giao dịch tập trung và các trung gian tuân thủ để truy cập và thanh khoản, cả người dùng và những người sáng lập đều đối mặt với các rủi ro gia tăng liên quan đến việc phơi bày dữ liệu KYC. Trong khi các giao thức phi tập trung từ lâu đã coi quyền riêng tư và tự giám sát là những nguyên tắc cốt lõi, việc tích hợp của họ với các thực thể được điều tiết tái giới thiệu các điểm truy cập truyền thống.
Các Vụ Hack Nổi Bật
Vụ hack Instagram của Migos là một phần của một mô hình rộng lớn hơn mà trong đó các tài khoản mạng xã hội nổi bật bị khai thác để phân phối nội dung độc hại, quảng cáo các đồng tiền lừa đảo, hoặc rò rỉ dữ liệu nhạy cảm. Trong nhiều trường hợp, kẻ tấn công nhắm đến sự chú ý rộng rãi để thúc đẩy các đồng tiền hoặc lừa đảo. Tuy nhiên, trường hợp này đã khác biệt bằng cách chủ yếu phục vụ như một công cụ trả thù công cộng khi yêu cầu tống tiền được cho là không thành công.
Trong những tháng gần đây, các vụ vi phạm mạng xã hội liên quan đến tiền điện tử đã bao gồm:
- Việc xâm nhập tài khoản chính thức của SEC Hoa Kỳ vào tháng Giêng, công bố sai lầm về việc phê duyệt ETF Bitcoin.
- Một sự cố vào tháng Ba của tài khoản X của MicroStrategy, được sử dụng để quảng bá một đồng tiền giả đạt được sáu con số trong vài phút.
- Nhiều vụ hack Instagram của người ảnh hưởng để khởi chạy các vụ bơm-phá meme coin.
Các nhà nghiên cứu an ninh đã ghi nhận rằng nhiều trong số những cuộc tấn công này bao gồm sự kết hợp của việc tráo đổi SIM, lừa đảo, và phần mềm độc hại. Kỹ nghệ xã hội vẫn là một trong những công cụ hiệu quả nhất để xâm nhập cả những cá nhân am hiểu công nghệ, đặc biệt là khi trợ lý cá nhân, dịch vụ chuyển tiếp email, hoặc tài khoản công ty liên quan.
Lỗ Hổng Pháp Lý
Mặc dù quy mô và tác động của các sự cố như thế này, việc thực thi và các biện pháp pháp lý vẫn chưa đầy đủ. Bản chất phi tập trung của blockchain làm cho khả năng truy vết giao dịch khả thi, nhưng việc thu hồi tài sản là khó khăn. Trong khi đó, các nền tảng như Instagram hoặc X có nghĩa vụ thông báo hạn chế đối với người theo dõi hoặc bồi thường cho nạn nhân sau các vụ xâm nhập tài khoản, trừ khi có dữ liệu cá nhân bổ sung bị rò rỉ theo luật bảo vệ dữ liệu của các khu vực pháp lý cụ thể.
Việc phơi bày dữ liệu KYC của một người sáng lập blockchain cũng có thể có ý nghĩa cho quản trị và an ninh mạng. Mặc dù Solana bản thân không bị ám chỉ trực tiếp, sự cố này làm dấy lên lo ngại về các cuộc tấn công có mục tiêu nhằm vào các nhân vật công và các rủi ro danh tiếng và vận hành mà chúng giới thiệu đối với các giao thức.
Meta, công ty sở hữu Instagram, chưa có tuyên bố công khai nào về vụ vi phạm này, mặc dù sự nổi bật của sự cố và khả năng phơi bày thông tin định danh cá nhân (PII) của hàng triệu người dùng. Cho đến lúc công bố, Gokal cũng chưa có bình luận chi tiết nào công khai.
Sự minh bạch từ các nền tảng tập trung vẫn không nhất quán, với hầu hết các công ty công nghệ lớn chỉ tiết lộ các vụ vi phạm khi bị buộc phải theo pháp luật hoặc khi hậu quả trở nên rõ ràng. Trong sự vắng mặt của sự báo cáo phối hợp, người dùng bị bỏ lại để dựa vào các nhà điều tra bên thứ ba như ZachXBT và các nhà báo độc lập để có thông tin chi tiết.
Những Suy Nghĩ Cuối Cùng
Việc rò rỉ thông tin cá nhân của Raj Gokal qua tài khoản Instagram của người nổi tiếng không liên quan nhấn mạnh một bối cảnh mối đe dọa rộng lớn hơn trong lĩnh vực tiền điện tử: sự hội tụ của các lỗ hổng mạng xã hội, lưu trữ dữ liệu KYC tập trung, và chiến thuật tống tiền.
Dù Gokal không trả 40 BTC tiền chuộc, việc cộng khai tài liệu nhận dạng nhạy cảm của ông đại diện cho một trách nhiệm lâu dài về mặt cá nhân và chuyên môn.
Sự kiện này bổ sung vào một danh sách ngày càng mở rộng các cuộc tấn công dựa trên dữ liệu trong lĩnh vực blockchain và có thể buộc các nhà lãnh đạo dự án và nhà đầu tư đánh giá lại cách họ quản lý cả danh tính kỹ thuật số và thực tiễn an ninh của mình. Nó cũng nhấn mạnh nhu cầu kiểm soát chặt chẽ hơn xung quanh việc lưu trữ KYC của bên thứ ba, và các thực tiễn báo cáo sự cố chặt chẽ hơn từ các nền tảng xử lý dữ liệu người dùng.
Khi ngành công nghiệp này trưởng thành, câu hỏi không chỉ là làm thế nào để ngăn chặn các cuộc tấn công vào blockchain, mà là làm thế nào để giảm thiểu các rủi ro ngoài chuỗi đang ngày càng giao cắt với việc sở hữu tài sản kỹ thuật số.