На платформі YouHodler стався витік даних 86 мільйонів користувачів

На криптовалютной платформі YouHodler стався витік конфіденційних даних користувачів, у тому числі адрес криптовалютных гаманців і номерів кредитних карт.

VpnMentor та команда, очолювана спеціалістами по обробці та аналізу даних Ноамом Ротемом (Noam Rotem) і Раном Локаром (Ran Locar), виявили велику витік персональних даних, яка торкнулась 86 мільйонів записів.

YouHodler надає послуги з кредитування під заставу криптовалют. Компанія дозволяє користувачам миттєво конвертувати криптоактивы у долари США або євро. Кредитна платформа підтримує BTC, BCH, ETH, LTC, XLM, XRP, DASH та інші криптоактивы.

В результаті витоку з YouHodler було розкрито велику кількість конфіденційних даних, включаючи повні імена користувачів, адреси електронної пошти, адреси проживання, номери телефонів, дні народження, номери кредитних карт, включаючи коди CVV, повні банківські реквізити і адреси криптовалютных гаманців.

Дослідники підкреслили, наскільки серйозними та масштабними є наслідки подібної витоку інформації. Наприклад, YouHodler позначав коди безпеки (CVV) кредитних карт як «ідентифікаційні дані», і ці коди CVV зберігалися в незашифрованому вигляді. Крім того, дослідники додали:

«Ми виявили повні номери кредитних карт у вигляді простого тексту, а також дату закінчення терміну дії картки, але без коду CVV. Однак у підсумку ми все одно отримали всі деталі, необхідні для повного контролю над картою, включаючи номери CVV».

Аналогічним чином були розкриті повні імена, адреси і банківські реквізити, включаючи номер рахунку і код SWIFT. В деяких випадках записи, що містять адреси криптовалютных гаманців, також були розкриті. Дослідники прийшли до висновку:

«Було просто зв’язати рахунки з адресою криптовалютного гаманця. Хоча вміст гаманців загальнодоступно, вони залишаються анонімними. Прив’язка імені і адреси до гаманця може мати серйозні наслідки».

VpnMentor – дослідницька компанія, яка спеціалізується на захисті приватності користувачів в інтернеті. За заявою команди дослідників, вони виявили витік даних наступним чином:

«Ми виявили витік в базі даних YouHodler в рамках нашого веб-картографічного проекту. Ран і Ноам перевіряють порти, щоб знайти відомі блоки IP. Виявивши блоки IP, вони шукають в системі пролому, які вказували б на відкриту базу даних. Використовуючи свій досвід, вони можуть підтвердити джерело витоку, щоб відстежити дані до їх власника».

Після того, як vpnMentor зв’язався з YouHodler 22 липня 2019 року, компанія усунула пролом в системі безпеки бази даних на наступний день.

Нещодавно шведська біржа криптовалют QuickBit також припустилася
витік даних 300 000 клієнтів через незахищену базу даних MongoDB під час оновлення. Протягом цього періоду інформація про імена, адреси, адреси електронної пошти і неповна інформація про карти приблизно 2% клієнтів QuickBit була відкрита.