Воры личных данных используют процесс настройки кошелька Chivo Bitcoin в Сальвадоре

Сначала Синтия Гутьеррес отказалась загружать Chivo — цифровой кошелек, разработанный правительством Сальвадора для использования Bitcoin по всей стране и выпущенный 7 сентября.

Она решила открыть приложение 16 октября, узнав от своих соотечественников-сальвадорцев, что хакеры активировали кошельки, связанные с девятизначными номерами на их удостоверениях личности, известными как DUI по аббревиатуре на испанском языке.

«Это становилось все шире и шире, достигая даже моего близкого круга», — рассказал 28-летний Гутьеррес изданию CoinDesk.

Когда Гутьеррес ввела свои персональные данные, появился экран с сообщением о том, что ее номер документа уже связан с кошельком. Она тут же сделала скриншот, опасаясь, что ее данные будут использованы в незаконных целях.

Случай Гутьерреса — ONE из сотен, о которых сальвадорцы сообщили в социальных сетях и местным адвокатам с сентября, когда Bitcoin был признан законным платежным средством, а Chivo начал массово используется в стране.

Рина Монтти, директор по исследованиям в области прав Human организации Cristosal в Сальвадоре, сообщила CoinDesk , что в период с 9 по 14 октября организация по защите прав Human в Сальвадоре получила 755 уведомлений от граждан Сальвадора, сообщивших о краже личных данных с помощью кошельков Chivo.

В большинстве случаев пострадавшие сальвадорцы пытались активировать свои кошельки после того, как узнавали о большом количестве людей, сообщавших о краже их личных данных.

У хакеров был стимул: каждый кошелек был загружен Bitcoin на сумму 30 долларов, предоставленными администрацией президента Сальвадора Наиба Букеле, чтобы побудить граждан использовать Криптовалюта.

На момент публикации статьи правительство Сальвадора не отреагировало на Request прокомментировать заявления о краже личных данных с использованием кошельков.

С принятием Bitcoin Букеле поставил свою центральноамериканскую страну в центр глобальной дискуссии о будущем денег. Этот процесс не обошелся без критики, например, те, которые направлены против статьи 7 закона, которая гласит, что все торговцы должны принимать Bitcoin в качестве формы оплаты, когда их предлагают клиенты.

Президент позжеотклонен что принятие Bitcoin будет обязательным. Сальвадорцы были озадачены расхождением между тем, что сказал президент, и тем, что установлено законом.

В августе опросыпоказал что 65% - 70% сальвадорцев выступили против принятия Bitcoin, и на улицах состоялось несколько маршей протеста. Согласно последним официальным данным данные предоставлены Букеле В конце сентября более 2 миллионов человек загрузили кошелек Chivo в рамках агрессивной программы, которая также включала майнинг Bitcoin с помощью вулканическая энергия.

Легко обмануть

Согласно официальному сайту Chivo, для открытия счета требуется сканирование лицевой и оборотной стороны DUI, а затем распознавание лиц для проверки личности регистратора. Но несколько сальвадорцев сообщили о доказательствах того, что система несовершенна.

Когда Адам Флорес, сальвадорский ютубер, который ведет каналЛа Гатада SV, услышав о взломах, он вспомнил, что его бабушка не открывала свой кошелек Chivo, и решил использовать случай в качестве теста. Несмотря на то, что у него была только фотокопия ее DUI, он все равно попробовал, и, к его изумлению, приложение приняло документ как действительный.

Флорес выполнил процесс верификации, который затем запросил распознавание лиц в реальном времени. Ютубер сфотографировал на своей стене постер Сары Коннор — персонажа из серии фильмов «Терминатор».

Согласно видео, которое Флорес отправил CoinDesk в качестве доказательства, через несколько секунд Chivo Wallet поприветствовал свою бабушку и выдал поощрение в размере 30 долларов.

Другие случаизагружено в социальных сетях наглядно продемонстрировали, как случайной фотографии — в ONE случае кружки кофе — оказалось достаточно, чтобы подменить DUI, а затем обмануть тест на распознавание лиц.

Сальвадорцы не всегда пытаются открыть счета самостоятельно. По словам Монтти из Кристосаля, большинство из 700 сальвадорцев, сообщивших о краже личных данных, просили знакомых попытаться перевести деньги через Chivo, указав свои номера DUI в поле получателя. Они обнаружили, что адреса были готовы к получению переводов. Другими словами, номера ID уже были зарегистрированы кем-то другим, а не законным владельцем.

Опасаясь выдачи себя за другое лицо, Рамон Эскивель 11 октября попросил знакомого перевести деньги на его кошелек с помощью DUI. К его удивлению, перевод прошел успешно, хотя он никогда не активировал свой счет.

«С гневом я понял, что они использовали мое DUI», — сказал Эскивель CoinDesk, добавив, что после эпизода он подал жалобу в офис генерального прокурора. «Я подвергаюсь риску быть использованным для совершения актов отмывания денег, которые будут зарегистрированы под моей личностью, что поставит под угрозу мою честность», — заявил он.

Другие случаи показали, что мошенники переводили деньги на счета, которые даже не принадлежали им, а принадлежали другим взломанным людям.

Поддержка клиентов

Две недели назад Габриэла Соса, ведущая из Сальвадора, попыталась активировать кошелек Chivo с помощью своего DUI, но на экране появилось сообщение об ошибке, сообщающее, что кошелек уже зарегистрирован.

Как только это произошло, она позвонила на официальный номер поддержки Chivo, 192. «Я продолжала звонить несколько дней, пока мне не сказали, что мне нужно обратиться в пункт Chivo», — рассказала Соса CoinDesk. В прошлую субботу она обратилась в этот центр поддержки, и ее счет наконец-то восстановили, но деньги — нет.

В своем аккаунте в Twitter Соса опубликовала данные счета, на который были отправлены $30. Владельца звали Майкл Сантакруз.

Несколько дней спустя коллеги по работе и университету отправили скриншоты этого твита Сантакрузу, который до этого не активировал свою учетную запись Chivo, согласно личным сообщениям, которые он отправлял Сосе,она опубликовала.

Затем он попытался открыть свой счет, но в уведомлении говорилось, что его DUI уже зарегистрирован. Как и Соса, Сантакрус обратился в центр поддержки Chivo, и после восстановления своего счета он понял, что он использовался для получения денег с пяти взломанных счетов, сказал он. (Попытки связаться с Сантакрусом для получения комментария оказались безуспешными.)

Cristosal была не единственной неправительственной организацией (НПО), которая занялась этой проблемой. Acción Ciudadana, некоммерческая организация, специализирующаяся на социальном аудите, подала уведомление в Генеральную прокуратуру (FGR) 12 октября после того, как президент группы Умберто Саенс и директор Эдуардо Эскобар обнаружили, что хакеры зарегистрировали их кошельки Chivo.

Acción Ciudadana сообщила CoinDesk, что до сих пор, спустя две недели после подачи заявления, ответа от FGR не поступило.

Лаура Натали Эрнандес, технический юрист из сальвадорской фирмы Legal Novis, получает просьбы о помощи от жертв кражи личных данных в отношении их кошельков Chivo. Первой рекомендацией, которую она дала пострадавшим, было опубликовать информацию об инциденте в социальных сетях, чтобы сделать ее публичной, а также подать отчет в офис генерального прокурора.

По словам Эрнандес, в первую очередь следует обратиться к организации, которая управляет приложением. «Но у нас T достаточной информации о том, кто несет ответственность», — сказала она, добавив: «Мы T знаем, кто им управляет, есть ли третья компания. Никакой прозрачности не было».

Неясная подотчетность

Согласно положениям и условиям Chivo, авторизация учетной записи обусловлена процессом «знай своего клиента» (KYC), проводимым CHIVO S.A. de C.V.,частная компаниясозданный правительством для запуска кошелька. Этот процесс проверки «включает предоставление информации и документов, необходимых для полного соответствия процессу».

Ответственность компании неясна. Согласноусловия и положения, пользователи соглашаются «не разглашать и не раскрывать третьим лицам никакую информацию, DUI, пароли или любой код, используемый для доступа к сайту». Однако в условиях также указано, что «не будет нести ответственности за любые убытки или ущерб, которые пользователь может понести в результате несанкционированного доступа третьих лиц к вашей учетной записи в результате взломов или утери паролей».

Сотрудники службы поддержки Chivo не ответили на вопросы CoinDesk о том, кто несет ответственность за взлом, если настоящий владелец аккаунта не предоставил информацию.

Кошелек добавляет, что услуги верификации будут предоставляться компанией напрямую и/или через третью сторону, нанятую компанией для этой цели. Но на момент публикации он не ответил на вопрос CoinDesk о том, какая еще третья сторона предоставляет платформе услуги идентификации.

Соса, ведущая сальвадорского телеканала, рассказала CoinDesk, что в конечном итоге ей вернули деньги, и подчеркнула, что ее жалоба не направлена ​​против приложения или правительства Букеле, а просто она хочет привлечь внимание к проблеме.

Гутьеррес до сих пор не вернула свои деньги. «Я пыталась связаться со службой поддержки клиентов, но они не дали мне ответа, и нет учреждения, которое четко объяснило бы, как следует Социальные сети в этом случае», — сказала она.

Эскивель заявил, что его не интересуют ни поощрение в размере 30 долларов, ни государственное приложение.

«Если я и буду использовать Bitcoin , то только с помощью кошелька, в котором я буду хранить свои деньги», — сказал он.