Binanceから発信されたとみられる何万ものKYC文書(Know Your Customer=顧客情報確認文章)にアクセスしたと主張する自称ホワイトハッカーが、インサイダーをハッキングすることで盗まれた文書が用意に入手できたと主張しています。
バイナンスKYC情報が流出
事の発端は世界最大規模の取引量と言われる大手仮想通貨取引所BINANCE(※以下、バイナンス表記)から流出したとされている個人情報が多数チャットアプリのテレグラムに掲載された事でした。
バイナンス側は現在調査中であると発表しており、現時点(発表時)ではバイナンスから流出したとする証拠はつかめていないとの声明を発表しています。
テレグラムにはハッカーがバイナンスの機密情報にアクセスして取得した顧客情報であると主張するセルフィー写真が挙げられており、自称ハッカーの“Bnatov Platon(ブナトフ・プラトン)”という仮名でTwitterアカウントを開設し、1カ月近くもの間CoinDeskの記者と連絡を取っていたと伝えられています。
バイナンスのCEOであるジCZこと趙長鵬(ジャオ・チャンポン)氏はSNS上で、現在調査中で確実性もなく恐怖心を煽るような情報に振り回されないでほしいと呼びかけています。
バイナンスも公式のホームページ上で声明を発表し、バイナンスの顧客情報10,000枚の顔写真を公開しない代わりに300BTCを要求されたものの、証拠の提示が実行されなかったため、取引は拒否したと明かしています。
顔写真のデータにかんしてはバイナンスユーザーと類似性はあるとしながらも、現段階ではバイナンスから流出したものだという証拠が見つかっていないとしています。
また、バイナンスはこの取引を持ち掛けてきた個人について、特定・追跡できるような情報を提供した者には、データとの関連に応じて最大25 BTCの報酬を提供すると発表しています。
情報入手はインサイダーから入手か!?
今回のバイナンスの個人情報とされるKYC文章の漏洩について、自称ハッカーのプラトンはインサイダーをハッキングすることで文書を入手したと主張しています。
この文書はバイナンスがKYCを支援するために契約した無名の第三者企業から入手したとされており、2018年2月に処理されたものだとしています。
プラトンは、ドキュメントと引き換えにバグ報奨金を求めてバイナンスに接近しており、自身を“ホワイトハットハッカー”であると名乗っていたと明かしています。
しかしバイナンス側は、ハッカー側がバイナンスKYCデータとの類似性を示すものとして10,000枚の写真を差し控えることを引き換えに300 BTCを要求したことで両者の交渉は決裂したと語っています。
プラトンは、APIを通じてハッカーが0.002 BTC(約23ドル)の即時引き出しを許可するスクリプトを作成。
その資金をブロックチェーンがホストするウォレットに送ったと主張しており、ウォレットからの資本フローを意図的に追跡した後、プラトンは、ハッカーがBitmex、Yobit、KuCoin、およびHuobiの仮想通貨取引所を通じて2,000 BTCを資金洗浄(マネーロンダリング)したと主張しています。
今回リークされた画像の一部と同時に提供されたメタデータを調べたVisibleMagicのヴィクトル・シュパク(Viktor Shpak)氏は“APIキー攻撃”である可能性が非常に高いと語っています。
今年8月7日に、ハッカーはテレグラムの開設をしており、ここからバイナンス KYCドキュメントを含むとされる数百の画像が漏洩しました。
アカウントの開設当日にはパスポートや個人の500枚の画像がグループごとにアップロードされ、10,000を超える顧客情報が掲載されました。
KYC文書の顧客については、日本、アメリカ、イギリス、フランス、トルコ、ロシア、韓国からのものではないかとみられています。