Списки учасників криптозаходів створюють нові ризики витоку даних
Списки, в яких міститься чутлива інформація про учасників подій у криптоіндустрії, продаються під виглядом «маркетингу, просування та пошуку клієнтів», що створює потенційну «золоту жилу» для шахраїв та зловмисників.
До таких списків може входити інформація, як-от повні імена, номери телефонів, національність, посади, компанії та посилання на особисті й бізнес-акаунти в соціальних мережах.
Деякі з них включають навіть дати покупки квитків, тип квитків, операційні системи, використані для купівлі, кількість підписників у соціальних мережах, адреси криптогаманців та повідомлення, введені для організаторів заходів.
Подібну інформацію зазвичай збирають через реєстраційні форми для участі в конференціях або додаткових заходах. Останнім часом платформи, такі як lu.ma, використовують для оформлення квитків вимогу надання посилань на конкретні акаунти в соціальних мережах перед прийняттям заявки.
CryptoAcademy отримав «зразки» таких списків від продавця через Telegram. До них входили чотири списки, кожен із яких містив від 60 до 100 учасників із різних заходів, і кожен список включав різні дані про учасників.
Заходи, ймовірно, відбувалися восени 2024 року, а номери телефонів учасників свідчать, що події проходили в різних країнах — переважно в Південно-Східній Азії та Індії.
Той факт, що один продавець має доступ до списків із різних країн, свідчить про наявність організованої міжнародної торгівлі даними учасників блокчейн-заходів, а не про окремий випадок.
Згадані списки, вірогідно, лише верхівка айсберга: зображення додаткових прикладів, нібито пов’язаних із Blockchain Fest і Devcon, також були продемонстровані. CryptoAcademy не припускає, що організатори чи персонал масштабних заходів причетні до цієї торгівлі, адже сотні побічних подій на конференціях збирають подібні дані.
Особливу увагу привернув список із приблизно 1,700 учасників конференції AIBC, що відбулася в листопаді 2024 року на Мальті. За цей список, який, за словами продавця, буде поділений «лише між кількома особами», спочатку просили майже $4,000, але через кілька днів ціну знизили до $650.
«Ці дані є дуже інсайдерськими і ексклюзивними.»
Продавець стверджував, що доходи від продажу будуть використані для купівлі додаткових списків з інших заходів, таких як Coinfest і DevCon, для яких були надані скріншоти баз даних.
Видається, що продавець діяв як посередник у торгівлі даними, а сам він та компілятор бази даних, імовірно, є росіянами. Це випливає із заголовків одного зі зразків, зокрема вкладки з назвою «List2» російською мовою, а також аналізу стилю написання текстів, які вказують на носія російської мови.
Продавець навіть намагався виправдати продаж «незлитих» даних, стверджуючи, що це «не конфіденційна інформація» і що «більшість людей відкриті до такого маркетингу».
Дивіться також: У 2024 році криптовалютні шахраї заробляють на централізованих сервісах та приватних ключах
Ця інформація може значно полегшити роботу шахраям, дозволивши їм використовувати методи соціальної інженерії для атак із шкідливими посиланнями та фішинговими спробами вилучити кошти з криптогаманців.
Засновник AIBC Еман Пуліс зазначив, що хотів би знати розмір списку, коли CryptoAcademy звернувся за коментарями. Він сказав, що на події діють «дуже жорсткі протоколи проти витоків даних». Пуліс також додав, що багато подібних баз даних є шахрайськими і заявив: «Нам постійно пропонують бази даних наших конкурентів.»
Повну базу даних неможливо перевірити, проте продавець запропонував звірити їх дані з будь-яким учасником AIBC, відомим CryptoAcademy.
«AIBC, якщо ви знаєте когось, хто був там, я можу довести реальність – дайте мені прізвище, і я знайду цю особу.»
Хоча невідомо, звідки саме походять ці дані, очевидно, що списки цього типу користуються попитом серед недобросовісних осіб, і учасники заходів мають бути свідомі ризиків введення персональних даних в онлайн-формах.
Часопис: Юридичні складнощі навколо створення ФБР фальшивих криптотоукенів
