أفادت التقارير أن مستخدمي بورصة العملات المشفرة الإيرانية Bit24.cash تعرضوا لاختراق كبير للبيانات مما أدى إلى الكشف عن بيانات حساسة لما يقرب من 230 ألف مواطن. ومع ذلك، رفضت البورصة هذا الادعاء ووصفته بأنه “غير صحيح على الإطلاق”.
يُعزى الاختراق إلى نظام تخزين مزعوم تم تكوينه بشكل خاطئ تستخدمه البورصة، وفقًا لفريق من الباحثين في Cybernews، الذين سلطوا الضوء في البداية على هذه المزاعم.
تم ترك نظام تخزين كائنات MinIO الذي تم تكوينه بشكل خاطئ بدون حماية، مما سمح بالوصول إلى مجموعات S3 التي تحتوي على مستندات KYC الخاصة بالمستخدمين. وأوضح الباحثون أن البيانات تحتوي على معلومات بما في ذلك خطابات الموافقة ومعلومات جواز السفر وتفاصيل بطاقة الائتمان.
“من خلال الوصول إلى هذه البيانات الشخصية والمالية الشاملة، يمكن للجهات الفاعلة الضارة انتحال هوية الأفراد، والوصول غير المصرح به إلى الحسابات، وتنفيذ معاملات احتيالية، وربما التسبب في ضرر مالي وشخصي كبير للمستخدمين المتأثرين.”
قال باحثو Cybernews لاحقًا إن التخزين أصبح الآن آمنًا ولا يمكن الوصول إليه.
تعد Bit24.cash من بين أكبر 5 بورصات عملات مشفرة في إيران، وفقًا لرؤى TRMlabs. تبنت الدولة موقفًا مؤيدًا للعملات المشفرة في عام 2019 للتحايل على العقوبات المفروضة عليها.
ردًا على هذه الادعاءات، دحضت البورصة بشدة الادعاء ووصفته بأنه “غير دقيق ومضلل”.
أكد حسين أميني، مهندس الأمن في bit24.cash، أنه لا يوجد دليل على اختراق البيانات أو الوصول غير المصرح به إلى البيانات الحساسة وأن أمان المستخدم يظل “أقصى أولويات Bit24.cash”.
قال أميني: “إن الإشارة إلى مثيل MinIO الذي تم تكوينه بشكل خاطئ والذي يمنح الوصول إلى مجموعات S3 التي تحتوي على بيانات KYC غير صحيح على الإطلاق ولا يتوافق مع بنية نظامنا أو بروتوكولات الأمان لدينا”. وأكد بثقة أن مثيل MinIO الخاص بهم ومجموعات S3 تظل آمنة.
حدثت العديد من الانتهاكات في الماضي بسبب الوصول غير الآمن إلى معلومات المستخدمين. ادعى الاختراق المحتمل الأخير لـ Strike، وهي منصة دفع تعتمد على Bitcoin Lightning، والتي تم الإبلاغ عنها بواسطة المحقق عبر الإنترنت ZachXBT، أنه كشف رسائل البريد الإلكتروني الخاصة للمستخدمين.
