Η fintech εταιρεία Figure, που βασίζεται σε blockchain τεχνολογία για δάνεια, επιβεβαίωσε παραβίαση των συστημάτων της που επηρέασε σχεδόν 967.000 πελάτες. Η ομάδα κυβερνοεγκληματιών ShinyHunters ανέλαβε την ευθύνη και δημοσίευσε 2,5 gigabytes κλεμμένων δεδομένων.
Όταν μια εταιρεία αναφέρει «περιορισμένο αριθμό αρχείων» που διέρρευσαν, συνήθως αξίζει να διαβάσει κανείς ανάμεσα στις γραμμές. Στην περίπτωση της Figure, μιας αμερικανικής εταιρείας που προσφέρει δάνεια μέσω blockchain τεχνολογίας, η αλήθεια αποδείχθηκε πολύ πιο ανησυχητική από την επίσημη ανακοίνωση.
Ο ερευνητής ασφαλείας Troy Hunt, γνωστός ως ο δημιουργός της πλατφόρμας Have I Been Pwned που ειδοποιεί χρήστες για διαρροές δεδομένων, ανέλυσε τα στοιχεία που δημοσιεύτηκαν από τους χάκερ. Το αποτέλεσμα: 967.200 μοναδικές διευθύνσεις email, συνοδευόμενες από ονόματα, ημερομηνίες γέννησης, φυσικές διευθύνσεις και τηλέφωνα πελατών. Η Figure δεν αμφισβήτησε δημόσια τα ευρήματά του.
Πίσω από την επίθεση βρίσκεται η ομάδα ShinyHunters, μια από τις πιο γνωστές ομάδες κυβερνοεγκληματιών των τελευταίων χρόνων. Η τακτική τους είναι τυπική για το είδος: κλέβουν δεδομένα, απαιτούν λύτρα, και αν η εταιρεία αρνηθεί να πληρώσει, δημοσιεύουν τα κλεμμένα αρχεία στον ιστότοπό τους. Στην περίπτωση της Figure, δημοσίευσαν 2,5 gigabytes δεδομένων — αρκετά για να επιβεβαιωθεί η έκταση της παραβίασης.
Το περιστατικό αναδεικνύει μια διαρκή αντίφαση στον κόσμο του fintech: εταιρείες που υπόσχονται σύγχρονες, ασφαλείς λύσεις στη χρηματοδότηση, αλλά αντιμετωπίζουν τις ίδιες παλιές αδυναμίες στην προστασία δεδομένων. Η χρήση blockchain για τη διαχείριση δανείων δεν σημαίνει αυτόματα ότι τα υπόλοιπα συστήματα της εταιρείας είναι εξίσου ανθεκτικά. Τα προσωπικά δεδομένα των πελατών αποθηκεύονται σε παραδοσιακές βάσεις δεδομένων, που παραμένουν ευάλωτες.
Για τους σχεδόν ένα εκατομμύριο πελάτες που επηρεάστηκαν, ο κίνδυνος δεν τελειώνει με τη διαρροή. Συνδυασμός ονόματος, ημερομηνίας γέννησης, διεύθυνσης και email αποτελεί ιδανικό υλικό για phishing επιθέσεις, κλοπή ταυτότητας ή στοχευμένες απάτες. Η Figure δεν έχει δώσει λεπτομέρειες για το πώς σκοπεύει να προστατεύσει τους πελάτες της ή αν τους έχει ειδοποιήσει άμεσα.
Το ερώτημα που μένει ανοιχτό είναι αν οι ρυθμιστικές αρχές θα απαιτήσουν μεγαλύτερη διαφάνεια. Στην Ευρώπη, ο GDPR υποχρεώνει τις εταιρείες να ειδοποιούν τις αρχές εντός 72 ωρών και τους χρήστες χωρίς αδικαιολόγητη καθυστέρηση. Στις ΗΠΑ, το τοπίο είναι πιο κατακερματισμένο — και συχνά αυτό το κενό το εκμεταλλεύονται τόσο οι εταιρείες όσο και οι επιτιθέμενοι.
