Datenleck bei Fractal ID: Daten von 6.300 Nutzern gestohlen

Die Blockchain-Identitätsplattform Fractal ID hat einen Post-Mortem-Bericht über ein Datenleck veröffentlicht, das das Unternehmen am 14. Juli traf. Aus dem Bericht geht hervor, dass das Leck auf einen Vorfall aus dem Jahr 2022 zurückzuführen ist, bei dem ein Mitarbeiter ein kompromittiertes Passwort erneut verwendete.

Umgehung interner Datenschutzsysteme

Das betroffene Konto, das drei Jahre lang im Besitz eines Betreibers der Plattform war und Administratorrechte hatte, ermöglichte es dem Angreifer, interne Datenschutzsysteme zu umgehen. Dank der Systemüberwachung wurde der Angreifer jedoch innerhalb von 29 Minuten ausgesperrt.

Die Nichteinhaltung der betrieblichen Sicherheitsrichtlinien und Schulungen durch den Betreiber, zusammen mit der Wiederverwendung von Anmeldedaten aus früheren Hacks, erleichterten den Verstoß. Am 14. Juli entdeckte Fractal ID ungewöhnliche Aktivitäten in einem seiner Backoffices, was zur Entdeckung des Angriffs und zur Datenexfiltration von etwa 0,5% des Nutzerbestands führte.

Maßnahmen gegen die leitenden Mitarbeiter

Als Reaktion auf den Vorfall hat Fractal ID alle Konten im kompromittierten System deaktiviert und den Zugang für leitende Mitarbeiter eingeschränkt. Das Unternehmen hat auch Priorität auf die Verbesserung seiner Sicherheitsmaßnahmen gelegt, einschließlich Anfragelimitierung, verfeinerter Autorisierung, strengerer Überwachung fehlgeschlagener Authentifizierungsversuche und strengerer IP-Kontrollen.

Neben verschiedenen internen Maßnahmen hat Fractal ID Kontakt mit den relevanten Datenschutzbehörden und der Cyberkriminalitätspolizei in Berlin aufgenommen. Das Unternehmen arbeitet Berichten zufolge auch mit Cybersicherheitsdiensten zusammen, um die mögliche Verbreitung gestohlener Daten auf bekannten Datenleak-Websites zu überwachen.

Laut dem Bericht umfassen die gestohlenen Daten, die etwa 6.300 Nutzer betrafen, verschiedene Informationsstufen, von Kontrollen des Nachweises der Persönlichkeit bis hin zu vollständigen KYC-Kontrollen. Diese Daten können Namen, E-Mail-Adressen, Telefonnummern, Wallet-Adressen, physische Adressen und Bilder hochgeladener Dokumente umfassen. Fractal ID hat die betroffenen Nutzer direkt über den Verstoß informiert.

Herausforderungen des Datenschutzes unterstreichen

Die Mitbegründer von Fractal ID, Julian, Julio, Lluis und Anna, haben ihr Bedauern über den Vorfall zum Ausdruck gebracht und betonen ihr Engagement für den Schutz der Nutzerdaten. Sie bekräftigen das Ziel des Unternehmens, auf ein selbstverwaltetes Speichersystem umzusteigen, um die Datensicherheit zu verbessern.

Dieser Vorfall unterstreicht die Herausforderungen des Datenschutzes. Kürzlich, am 27. Juni, gab ein anderer Anbieter von Krypto-Identitäten, Auix10, bekannt, dass seine administrativen Online-Anmeldedaten offengelegt wurden. In diesem Fall erlangte der Angreifer jedoch scheinbar keinen Zugang zu Kundendaten.