黑客盗取萨尔瓦多每人30元的比特币奖励
起初,辛西娅·古铁雷斯 (Cynthia Gutierrez) 拒绝下载 Chivo,这是萨尔瓦多政府为在全国范围内使用比特币而开发并于 9 月 7 日发布的数字钱包。
她决定在 10 月 16 日打开该应用程序,因为她从萨尔瓦多同胞那里得知黑客已经激活了与他们身份证上的九位数字相关联的钱包,该数字在西班牙语中被称为 DUI。
28 岁的古铁雷斯告诉 CoinDesk:“这种情况越来越多,进入我的亲密圈子。”
当古铁雷斯输入她的个人信息时,会弹出一个屏幕,说她的证件号码已经与钱包相关联。她立即截图,担心她的数据会被用于非法目的。
Gutierrez 的案件是萨尔瓦多人自 9 月以来在社交媒体和当地倡导者上报告的数百起案件之一,当时比特币被确立为法定货币,Chivo 开始在该国大量使用。
该组织的人权研究主管 Rina Montti 告诉 CoinDesk,在 10 月 9 日至 10 月 14 日期间,萨尔瓦多的人权组织 Cristosal 收到了 755 份关于萨尔瓦多人报告其 Chivo 钱包身份被盗的通知。
在大多数情况下,受影响的萨尔瓦多人在得知有大量人报告他们的身份被盗后试图激活他们的钱包。
黑客有一个动机:每个钱包都装有价值 30 美元的比特币,由萨尔瓦多总统纳伊布·布克勒 (Nayib Bukele) 政府提供,以鼓励公民使用这种加密货币。
截至发稿时,萨尔瓦多政府没有回应有关涉及钱包的身份盗窃指控的置评请求。
随着比特币的采用,Bukele 将他的中美洲国家置于有关货币未来的全球讨论的中心。该过程并非没有批评,例如违反法律第 7 条的批评,该条规定所有商家在客户提供比特币时必须接受比特币作为一种支付方式。
总统后来否认接受比特币是强制性的。萨尔瓦多人对总统所说的与法律所说的不一致感到困惑。
8 月,民意调查显示,65% 至 70% 的萨尔瓦多人反对采用比特币,并且在街头举行了几次抗议游行。根据Bukele在 9 月底提供的最新官方数据,超过 200 万人下载了 Chivo 钱包,这是一项激进议程的一部分,其中还包括利用火山能源开采比特币。
容易上当
智沃官网介绍,开户需要对酒驾进行正反面扫描,然后进行人脸识别,核对注册人身份。但一些萨尔瓦多人报告了该系统存在缺陷的证据。
当经营La Gatada SV频道的萨尔瓦多 YouTube 主亚当·弗洛雷斯 (Adam Flores)听说黑客入侵时,他记得他的祖母还没有打开她的 Chivo 钱包,并决定用这个案例作为测试。尽管他只有她酒后驾车的复印件,但他还是试了试,令他惊讶的是,申请接受了该文件的有效性。
弗洛雷斯完成了验证过程,然后要求进行实时面部识别。这位 YouTuber 在他的墙上拍下了一张海报的照片,上面是“终结者”电影系列中的一个角色莎拉康纳。
根据弗洛雷斯发送给 CoinDesk 的一段视频作为证据,几秒钟后,Chivo Wallet 迎来了他的祖母,并发放了 30 美元的奖励。
其他上传到社交媒体的案例直接显示了一张随机照片——在一个案例中是一个咖啡杯——就足以取代酒后驾车,然后欺骗面部识别测试。
萨尔瓦多人并不总是尝试自己开设账户。根据 Cristosal 的 Montti 的说法,在报告身份盗窃的 700 名萨尔瓦多人中,大多数人要求熟人通过将他们的 DUI 号码放在收件人字段中来尝试通过 Chivo 转账。他们发现地址已准备好接收转账。换句话说,身份证号码已经被合法所有者以外的人注册了。
由于担心被冒充,Ramón Esquivel 于 10 月 11 日让一位熟人用他的酒后驾车将钱汇到一个钱包中。令他惊讶的是,转账成功了,尽管他从未激活过自己的账户。
“带着愤怒,我意识到他们使用了我的酒后驾车,”Esquivel 告诉 CoinDesk,并补充说,在事件发生后,他向司法部长办公室提出了投诉。“我被用来从事洗钱行为,这些行为会以我的身份注册,损害我的诚信,”他说。
其他案例表明,欺诈者将钱转移到甚至不是他们自己的账户,而是其他被黑客入侵的人的账户。
客户支持
两周前,萨尔瓦多媒体主持人加布里埃拉·索萨 (Gabriela Sosa) 试图用酒驾激活 Chivo 钱包,但屏幕上跳出一条错误消息,通知她已经注册。
事情发生后,她立即拨打了 Chivo 的官方支持号码 192。“我连续几天打电话,直到他们告诉我必须去 Chivo 点,”Sosa 告诉 CoinDesk。上周六,她去了那个帮助中心,她的账户终于找回了,但钱却没有。
在她的推特账户上,索萨公布了 30 美元的账户详细信息。业主的名字是迈克尔·桑塔克鲁斯。
几天后,同事和大学的同事发送的鸣叫圣克鲁斯,谁从未激活了他的Chivo考虑到那时的截图,根据他送到索萨私人聊天消息,她公布。
然后,他试图打开他的账户,但一条通知说他的 DUI 已经被注册了。他说,与 Sosa 一样,Santacruz 也找到了 Chivo 帮助中心,在恢复他的账户后,他意识到它已被用来从五个被黑账户中接收资金。(尝试联系 Santacruz 征求意见未成功。)
Cristosal 并不是唯一一个解决这个问题的非政府组织 (NGO)。Acción Ciudadana 是一家专门从事社会审计的非营利组织,在该集团总裁 Humberto Sáenz 和董事 Eduardo Escobar 发现黑客注册了他们的 Chivo 钱包后,于 10 月 12 日向总检察长办公室 (FGR) 提交了一份通知。
Acción Ciudadana 告诉 CoinDesk,截至目前,在提交申请两周后,FGR 没有回应。
Laura Nathalie Hernández 是萨尔瓦多公司 Legal Novis 的技术律师,她一直在收到身份盗用受害者关于 Chivo 钱包的帮助请求。她给受影响的人的第一个建议是将事件发布到社交媒体上以将其公之于众,并向总检察长办公室提交报告。
根据 Hernández 的说法,应该首先求助于管理应用程序的实体。“但我们也没有太多关于谁负责的信息,”她说,并补充说:“我们不知道谁来管理它,如果有第三家公司。没有透明度。”
根据 Chivo 的条款和条件,账户的授权取决于 CHIVO SA de CV 执行的了解您的客户(KYC)流程,CHIVO SA de CV 是一家由政府创建的私人公司,用于启动钱包。该验证过程“包括提供完全符合该过程所需的信息和文件。”
公司责任不明确。根据条款和条件,用户同意“不向第三方披露或泄露任何信息、DUI、密码或用于访问网站的任何代码。” 但条款还规定,“对于因黑客攻击或丢失密码而导致未经授权的第三方访问您的帐户而给用户造成的任何损失或损害,它概不负责。”
Chivo 的支持人员没有回答 CoinDesk 的问题,即在真实账户所有者未提供信息的情况下,谁应对黑客攻击负责。
钱包补充说,验证服务将由公司直接和/或通过公司为此目的签约的第三方提供。但截至发稿时,它尚未回答 CoinDesk 关于其他第三方向该平台提供身份识别服务的问题。
萨尔瓦多媒体主持人 Sosa 告诉 CoinDesk,她最终收回了她的钱,并强调她的投诉不是针对申请或 Bukele 政府,只是她想提高对这个问题的认识。
古铁雷斯尚未收回她的钱。“我试图联系客户服务,但他们没有给我答复,也没有任何机构明确在这种情况下应遵循的流程,”她说。
Esquivel 说他对 30 美元的奖励或政府应用程序不感兴趣。
“如果我完全使用比特币,我将使用一个钱包来保管我的钱,”他说。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場