Datos de unos 300.000 usuarios de Bitcoin ATMs en manos de hackers

[DdmrDdmr]

Primero aclarar que el contexto es el de los cajeros de Coin Cloud en EEUU y Brasil, red de cajeros que quebró en febrero 2023. Una vez establecido el contexto, se supone que los hackers han logrado hacerse con datos personales de unos 300.000 clientes, y unos 70.000 selfies de las cámaras de los cajeros.

En la lista de datos personales se citan los siguientes:
Número de la seguridad social (Id allí), fecha de nacimiento, nombre y apellidos, correo electrónico, teléfono, profesión, dirección física (y más …).

Esto es una aberración, y una vez más, dados de KYC sensibles se filtran a un nivel peligroso, incluyendo domicilio de usuarios de cajeros de bitcoin. No dice nada al respecto, pero quién sabe si además han logrado dar con un historial de direcciones asociadas a los clientes y TX efectuadas, datos que servirían para targetizar personas según su potencial tenencia  ...

Nota: Parece que Coin Cloud no tiene cajeros activos en la actualidad (el negocio podría estar operando a pesar de la banca rota):
https://coinatmradar.com/manufacturer/133/coincloud-bitcoin-atm-producer/


Ver:
https://cointelegraph.com/news/coin-cloud-data-hack-united-states-brazil
https://twitter.com/vxunderground/status/1723749038057574425

[1714511486]

1714511486

[1714511486]

1714511486

[1714511486]

1714511486

[Don Pedro Dinero]

A mi una cosa que me llamó la atención hace tiempo es que recuerdo por un hilo que había un montón de cajeros funcionando con KYC en USA. Estoy seguro haberlo visto en el norte y diría que también lo comentamos aquí. ¿Quién narices usa un cajero pagando fees muy elevadas si te pide KYC? Ahora vemos el doble peligro de ello, ya no solo que te cueste más caro el bitcoin, sino que tus datos puedan caer en manos de criminales, poniendo en riesgo tu integridad y seguridad.

[DdmrDdmr]

<…>

Es su momento lo pregunté, pero no logro dar con el hilo y las respuestas al respecto. Creo que no fue un hilo dedicado a esta pregunta, sino que más bien lo pregunté allí, y obtuve alguna que otra respuesta.

Si no recuerdo mal, algún usuario indicó que existía mucha población que no podía acceder a tener una cuenta bancaria o tarjeta para usar Exchanges, por lo que recurría a la utilización de los cajeros a pesar de los fees elevados y KYC en EEUU. Lo anterior puede ser parte de la motivación de su uso para ciertos segmentos de la población, pero no me convence como un factor principal. Tiene que haber algo más de fondo.

[Hispo]

Bastante conveniente que un negocio que sin duda estaría en el blanco de los abogados de esta personas que han Sido perjudicadas esté en la banca rota, supuestamente.

Nose, quizá yo soy una persona que no tiene la misma forma de pensar que el resto del mundo, pero ¿No es de sentido común el borrar este tipo de datos ultra sensibles en el momento de la banca rota? 
¿No mi sentido común es el que está en banca rota?

Si está compañía hubiese Sido mínimamenre sería los datos filtrados no serían más que una serie de datos cifrados e inútiles para criminales de blanden llaves inglesas.
Otra razón para no usar ATMs de Bitcoin, en el caso de que algún día lleguen a Venezuela. Mientras tanto, espero que ninguna de esas personas tenga que cambiar de casa...

[DdmrDdmr]

<…> Si está compañía hubiese Sido mínimamenre sería los datos filtrados no serían más que una serie de datos cifrados e inútiles para criminales de blanden llaves inglesas. <…>

Esta es parte de la clave de la cuestión: la conservación encriptada de los datos es lo mínimo que se debería exigir, pero como se observa en las imágenes liberadas (mostradas en el Tweet del segundo enlace del OP), los datos parecen estar en cleartext, sin encriptación alguna.

Siendo el caso que la mayor parte de los afectados son personas de EEUU, y que estos cajeros funcionan allí bajo un prisma de legalidad, me sorprende que esta sensibilidad de datos, que son de identificación y/o financieros, no estén sometidos a normas estrictas relativas a su custodia.

Nota: El hecho de que esté en bancarrota entiendo que implica que pudiesen realmente borrar sus BDs de clientes, dado que pueden ser precisos ante litigios y demás. Otra cosa es cómo leches guardan la información…

[seoincorporation]

Nose, quizá yo soy una persona que no tiene la misma forma de pensar que el resto del mundo, pero ¿No es de sentido común el borrar este tipo de datos ultra sensibles en el momento de la banca rota? 
¿No mi sentido común es el que está en banca rota?

El sentido común me dice lo mismo, se debió de eliminar esa base de datos por el bien y la seguridad de los usuarios, pero por otro lado me pongo a pensar en el valor que tiene una base de datos de esa magnitud, no solo por la cantidad de usuarios sino por la calidad de los datos.

Si está compañía hubiese Sido mínimamenre sería los datos filtrados no serían más que una serie de datos cifrados e inútiles para criminales de blanden llaves inglesas.
Otra razón para no usar ATMs de Bitcoin, en el caso de que algún día lleguen a Venezuela. Mientras tanto, espero que ninguna de esas personas tenga que cambiar de casa...

Incluso me pogo a pensar que la empresa pudo haber vendido los datos y disfrazarlo de hackeo, pero aveces mi especulación es algo paranóica 

Y creo que este es el motivo por el cual a la gente no le gusta hacer KYC, el echo de que un hacker pueda acceder a información tan sensible es algo que personalmente me da miedo ya que podrían usar esos datos para solicitar préstamos a nuestro nombre.

[Don Pedro Dinero]

Es su momento lo pregunté, pero no logro dar con el hilo y las respuestas al respecto. Creo que no fue un hilo dedicado a esta pregunta, sino que más bien lo pregunté allí, y obtuve alguna que otra respuesta.

Si no recuerdo mal, algún usuario indicó que existía mucha población que no podía acceder a tener una cuenta bancaria o tarjeta para usar Exchanges, por lo que recurría a la utilización de los cajeros a pesar de los fees elevados y KYC en EEUU. Lo anterior puede ser parte de la motivación de su uso para ciertos segmentos de la población, pero no me convence como un factor principal. Tiene que haber algo más de fondo.

Ahora me vienen a la cabeza programas como la casa de empeños de Detroit (Hardcore Pawn), que se explica su gran uso en determinadas zonas porque la gente de allí no tiene acceso a una cuenta bancaria. Ello podría explicar una parte, como dices, pero a mi también me parece que hay algo que se nos escapa.

[DdmrDdmr]

Lo curiosos es que la web de Coin Cloud sigue vida, aunque con el certificado ssl caducado y partes del aplicativo que ya no van. A su vez, también tienen una wallet propia que aún parece estar en las stores de Apple y Google, la cual la tildan como no custodial, y la que (obviamente) recomendaban ellos para tener una experiencia más ágil con sus cajeros. Esperemos que por aquí no venga sorpresa alguna adicional …

[famososMuertos]

Esto es complicidad interna, aunque es lo de siempre;  Quién fue y miro?, en realidad fue un hack?. No hay investigación en este tipo de situaciones más allá de las dos versiones existentes, la del afectado, si, fue un hack y el otro que lo confirma. Creo estas situaciones se dan con tantas empresas que simplemente nos enteramos cuando no se ponen de acuerdo en lo que piden.

Aprovechando tema, leí que Google One permite conocer si tu información esta en la darkweb.

[DdmrDdmr]

En una versión archivada de la política de privacidad de Coin Cloud, citan que:

We take security of data very seriously. While no data transmission over the Internet or method of electronic storage can be guaranteed to be 100% secure, we have security measures in place to protect your personal information, including the use of industry-standard safeguards such as firewalls and data encryption, physical access controls, and limiting access to personal information only for those employees who require it to fulfill their job responsibilities.

Por las imágenes que hemos visto, o bien la encriptación que citan no se estaba llevando a cabo en la práctica, o bien, junto con el software que también les robaron, estaría algún fichero con la clave de desencriptación a la vista.

A su vez, citan que los datos procedentes de KYC, por normativa en EEUU, debe retenerse durante un mínimo de 5 años tras el cierre o la inactividad de una cuenta. Vamos, que el periodo de conservación obligatoria es manifiestamente amplio en manos de cualquier proveedor del estilo.


Ver: https://web.archive.org/web/20230316190543/https://www.coin.cloud/legal/privacy