「SIM卡交換攻擊」BlockFi 用戶數據遭外洩,稱資金未受影響

加密貨幣貸款機構 BlockFi 本週二發佈官方公告,為本週二客戶數據洩露事件報告詳細過程,聲稱資金未受影響,並警告用戶務必啟動 2FA 認證機制,以及出金地址的白名單設置。

用戶資金未受影響

根據 BlockFi 事件報告,遭流出的用戶資訊包括姓名、電子信箱、出生日期、郵政地址和歷史活動記錄。但用戶資金、密碼、社會安全碼、稅務識別碼,駭客皆無法訪問。事發的確切原因是內部員工的手機號碼遭到第三方的「SIM卡交換攻擊」。

「SIM卡交換攻擊」也常被稱為 SIM 卡交換詐騙。犯罪分子通常會先蒐集特定目標的個人資訊,下一步在騙過電信公司服務人員後,將目標用戶的手機號碼轉移至自己掌控的 SIM 卡上,也等於掌握了「用戶的手機」,通常會針對金融帳戶、加密貨幣錢包進行訪問。

該事件發生在 5 月 14 日,將近一半的散戶個資遭洩露,但機構用戶並未受影響。BlockFi 表示,攻擊大約持續了一個小時,攻擊者試圖提取用戶資金,但未能成功,也迅速終止了入侵者對於內部系統的訪問。

今年大肆擴張

先前鏈新聞報導,BlockFi 今年持續戰略性佈局,2 月完成 3,000 萬美元的戰略融資、3 月中宣佈上調比特幣、以太幣的借貸利率(6%、4.5%)、並僱用前美國運通高管為運籌長,此舉應是為了第四季度試行的比特幣回饋信用卡鋪路。

而儘管這次的數據外洩事件未造成重大影響,還是讓去中心化機制的愛好者找到批評的好機會,去中心化金融協議 Set Protocol 的產品總監 Anthony Sassano 在推特表示:

就是為什麼我們在以太坊上打造去中心化金融。

而外媒 The Block 研究總監 Larry Cermak 則指出:

BlockFi 運氣還真好,就在他們宣佈大規模數據外洩事件時,BitMEX 的交易引擎也剛好停止運作,所有人都在討論 BitMEX 的事情。我非常確定 BlockFi 已失去眾多用戶的信任。

BlockFi 則強調,這次事件在短時間內某些用戶個資遭外流,但入侵者無法訪問帳戶或資金的相關訊息,正持續審查和改善系統和安全程序,以期在未來發生類似攻擊情況時能更快進行鎖定。

衍伸閱讀