盤點交易所信息洩露，騷擾電話、KYC洩露​行業再次敲響警鐘

文| 周文怡編輯| Tong 來源| PANews

“@何一@李林@徐明星請問幣安、火幣、OK等各大交易所在保護隱私方面還有哪些工作可以加強。請交易所亡羊補牢、更上一層樓。”8月8日下午，在行業微信群中，眾人向三大所齊發問，這背後，是近期大家對個人信息洩露的擔憂。

昨日（8月7日），在Telegram直播群“FIND YOUR BINANCE KYC”中疑似幣安用戶KYC資料洩露，頓時在圈內炸開了鍋，事後甚至有人冒名被洩露的用戶。幣安回應稱正在核查，也坦然曾在曾有一周將部分KYC審核外包給第三方服務公司，目前，正在和第三方服務公司核對所有信息。此外，已經確認洩漏的數百個配置文件中至少有兩個屬於向交易所提供KYC信息的真實客戶，其中一張圖片似乎已被篡改。

幣安還稱，這是黑客的勒索手段，近期幣安“收到一位身份不明人士的威脅，被要求以300個比特幣的籌碼換取他聲稱掌握的關於Binance的1萬個KYC信息……這位身份不明人士因為沒有馬上拿到勒索款，隨即開始向公眾和媒體傳播相關信息”。

而據Coindesk報導，在7日的洩露事件爆發之前，一位名為BnatovPlaton的黑客曾在與CoinDesk記者對話中聲稱，很可能是交易所內部人士幫助黑客公開了很多API信息，允許黑客直接訪問客戶帳戶。

而早在幣安KYC風波前，不少圈內人已經感受到了信息洩露的威脅。近期，有不少冒充幣安、火幣、OK，甚至是新浪財經、幣世界、金色財經等媒體的工作人員打騷擾電話，號稱要建微信群，會有老師指導炒幣等。

由於涉及面廣，因此並無法確認，用戶信息是在哪個渠道遭到洩露。 “最近冒充幣安、火幣、OK、比特大陸的都特別多，至於是誰家信息洩露最好的鑑別方式是某個手機號只註冊某一個平台，”一位從業者表示。

在今年年初就有媒體報導，名叫ExploitDOT 的黑客自稱拿到了Poloniex、Binance、Bittrex 和Bitfinex 的10萬多名註冊用戶的KYC信息，包括用戶身份證、駕駛證等。當時，幣安也否認了洩露的指控，並稱信息可能來自釣魚網站而非幣安官方。

雖然沒有像盜幣那樣造成直接的經濟損失，信息洩露潛藏了極大的用戶和交易所安全風險。 PANews梳理盤點了近年來交易所用戶信息洩露（包括通過釣魚網站）的事件，為行業時刻敲響安全警鐘。

2019-07 YouHodler

YouHodler未受密碼保護的服務器，暴露了大量用戶交易數據。在長達一個月的時間內，8600多萬條用戶數據記錄被洩露。洩露數據包括用戶姓名、出生日期、電子郵件地址、住址、電話號碼、護照號碼、信用卡號碼及到期日、CVV驗證碼、銀行詳細信息和加密錢包地址等。

2019-07 QuickBit

瑞典加密貨幣交易所QuickBit 官方通告，在新系統上線運營交付期間，我們發現大約2% 的QuickBit 客戶被公開了姓名、地址、電子郵件地址和截斷(不完整) 的卡片信息，該交易所的30萬客戶記錄被洩露。洩露是由於一個外部承包商在嘗試安全升級時沒有進行數據保護。

2019-05 Binance （幣安）

世界最大的加密貨幣交易所幣安（Binance）發生黑客攻擊事件，丟失7000枚比特幣，價值約4100萬美元。幣安發布聲明，“2019年5月8日凌晨1:15:24，我們發現了一個大規模的系統性攻擊，黑客能夠獲得大量用戶API密鑰，谷歌驗證2FA碼以及其他相關信息；黑客團體使用了複合型的攻擊技術，包括網絡釣魚，病毒等其他攻擊手段。黑客在這一次攻擊中提走了7000枚比特幣（其中約占我們BTC總持股量的2％）。”

2019-02 Coinmama

數字貨幣交易所Coinmama遭黑客攻擊，45萬用戶信息被公佈在暗網。黑客“Gnosticplayers”提交了一批新的1. 27 億份被盜用戶記錄，出售包括Coinmama在內的八家公司數據。 Coinmama稱，被盜信息截止到2017 年8 月5 日註冊的用戶。

2018-08 Atlas Quantum

數字貨幣平台Altas Quantum遇到信息安全漏洞，超過260000名用戶的信息被黑客竊取。黑客竊取了260多萬筆數字貨幣平台Altas Quantum用戶相關的信息。暴露的數據包括客戶姓名、電子郵件地址、以及客戶帳戶餘額。

2018-06 bkex.com

bkex.com（幣客）被BCloud.one 旗下安全團隊SniperTeam爆出重大安全漏洞，超過十萬用戶的賬號密碼洩露。在黑客放出的一批賬號密碼中，經過MD5值反查明文，登錄成功率超過80%。

2017 Bithumb交易所

2017年，也是因為黑客入侵，Bithumb交易所的3萬餘條個人信息流出，最終遭到韓國“放送通信委員會”行政罰款的處罰。

2012 Tradehill和Bitcoinica

由於日本服務器供應商Linode密碼洩露事件：Linode 宣布重置所有用戶密碼，但聲稱問題不大，沒有發現客戶數據被訪問的證據。然而真實情況顯然要比Linode 所說的更嚴重。攻擊者宣稱獲得了Linode 客戶的信用卡號碼和哈希加密密碼。包括Tradehill和Bitcoinica在內的八家加密貨幣交易所受到影響，導致總計約46,653 比特幣遭竊。