Inside Binance’s onderhandelingen met ‘KYC-leaker’

 
 

Het verhaal over de vermeende leak van Binance KYC gegevens gaat verder. Coindesk heeft informatie naar buiten gebracht over het contact tussen Binance en de leaker.


Bnatov Platon

In een ingewikkeld spel van hackers die hackers hacken, heeft een persoon die opereert onder het pseudoniem “Bnatov Platon”, CoinDesk uitgebreide informatie verstrekt over hun pogingen om miljoenen dollars te verkrijgen in ruil voor het niet vrij geven van informatie over klanten van een van de ’s Werelds grootste cryptocurrency-exchanges, Binance.

Informatie over de hack, verzameld door een maandlange interactie met de hacker, werd vandaag in de publieke belangstelling gebracht toen Platon begon te posten wat volgens hem afbeeldingen en informatie over echte Binance-klanten zijn. Deze werden eerst op een open website en vervolgens op Telegram gepubliceerd.

Het idee dat klantinformatie mogelijk niet veilig is op de grootste crypto exchange ter wereld, was voldoende om onmiddellijk de aandacht van de cryptowereld te wekken, met belangrijke nieuwswebsites en Twitter-beïnvloeders die het nieuws snel verspreidden.


Verhaal ingewikkelder dan het eerst leek.

Ten eerste heeft het diepe wortels, die teruggaan tot een incident in mei toen een externe groep inbrak bij Binance-gebruikersaccounts en 7.000 bitcoin stal. Destijds was Binance, zoals altijd, publiek over zijn problemen en beschreef het als onderdeel van een “grootschalige inbreuk op de beveiliging” waarbij “hackers een groot aantal gebruikers-API-sleutels, 2FA-codes en mogelijk andere informatie konden verkrijgen .”

Niet vermeld was echter dat de gebruikersinformatie die personen identificeert mogelijk was gelekt.

Het is tijdens dit evenement dat Platon beweert de informatie over Binance-klanten te hebben verkregen, hoewel hij in een twist zegt dat hij niet de dader van de hack was, maar dat hij een Binance exchange”insider”(werkenemer) bij de overval hackte.

In een ander verhaal beweert Binance dat de klantgegevens zijn verkregen van een niet nader genoemd derde bedrijf dat het heeft gecontracteerd om zijn know-your-customer (KYC) uit te voeren sinds februari 2018.

Verder heeft CoinDesk bevestigd dat ten minste twee honderd gelekte profielen behoren tot echte klanten die identificerende informatie aan de exchange hebben verstrekt. Een van de afbeeldingen die we hebben geanalyseerd leek te zijn bewerkt, maar de persoon wiens identiteit op de foto stond, bevestigde dat ze een Binance-account had gemaakt rond de tijd van de leaks.

In gesprekken met CoinDesk heeft Platon beweerd dat ze een ‘white hat hacker’ zijn en in enkele opmerkingen suggereerde ze Binance te vragen om een ​​beloning voor het ontdekken van de leak in KYC gegevens. De onderhandelingen liepen echter stuk en de vertegenwoordigers van Platon en Binance meldden dat hij 300 bitcoin vroeg om over de gegevens waarover hij beschikte verder uit te weiden.

In een verklaring reageerde Binance op de ‘angst, onzekerheid en twijfel’ die het nieuws teweeg bracht:

“We willen u meedelen dat een niet-geïdentificeerde persoon ons heeft bedreigd en lastiggevallen, en 300 BTC eist in ruil voor het achterhouden van 10.000 foto’s die lijken op Binance KYC-gegevens. We onderzoeken deze zaak nog steeds op legitimiteit en relevantie.”

Platon beweert dat ze van 60.000 klantaccount de KYC-informatie hebben. Wat volgt is wat Coindesk weet over de onderhandelingen en hun nasleep.


De interactie van CoinDesk met Platon begon voor het eerst in juli, toen er beweging kwam in de tijdens de inbreuk in Binance in Mei gestolen bitcoins.

Binance reageerde destijds op deze hack en zei dat kwaadwillende actoren de API’s van klanten, tweefactorcodes en “mogelijk andere informatie” hebben verworven.

Platons visie op het incident was anders. Ze beweren dat een insider binnen de organisatie heeft geholpen een aantal API’s openbaar te maken waardoor de hackers rechtstreeks toegang konden krijgen tot klantaccounts. Hackers hebben lijsten met API-sleutels van clients opgeslagen (de codes die worden gebruikt om op afstand toegang te krijgen tot hun accounts) in tekstbestanden die Platon beweert te kunnen verwerven. Hierdoor konden de hackers op afstand toegang krijgen tot de cryptomunten in iemands wallet.

De bestanden bevatten ook “uiterst serieuze informatie”, waaronder de e-mailadressen van klanten en accountwachtwoorden, zei Platon. De risicoklanten hebben Binance-accounts geopend tussen 2018 en 2019.

Met behulp van deze persoonlijke informatie schreven de hackers een kwaadaardig script waarmee ze .002 BTC (ongeveer $ 23) per keer konden opnemen. De code plaatste een kooporder voor een obscuur token genaamd het BlockMason Credit Protocol en converteerde het naar bitcoin. De code die Coindesk heeft onderzocht, kan ook een aantal functies uitvoeren met API-aanroepen die niet langer open of openbaar zijn. Toen Coindesk echter één API-aanroep testten, een eenvoudig verzoek om de servertijd, was deze nog open. Het is onduidelijk of de gesloten API-eindpunten zijn verwijderd of gewoon verborgen.

Platon beweert dat de gestolen munten werden bewaard in een wallet die werd gehost door bitcoin-software wallet aanbieder Blockchain, de maker van de onlangs gelanceerde PIT-exchange.

Door een spoor te volgen dat uit deze wallet leidde, ontdekte Platon dat de hackers 2.000 bitcoins hadden gewassen door Bitmex, Yobit, KuCoin en Huobi en van plan waren om maar liefst $ 1 miljoen aan bitcoin per dag te converteren.


Hoe ze het hebben gedaan

Van de 60.000 klantenaccounts die Platon beweerd te hebben, deelde hij 636 bestanden met CoinDesk. Hij hoopte dat de media-aandacht Binance zou aansporen om de ware omvang van de hack aan te kondigen en de aanvallers voor het gerecht zou brengen

Binance kondigde, destijds in Mei, van haar kant aan dat de gestolen bitcoins alleen afkomstig waren van hun bedrijfsaccount en geen gevolgen hadden voor consumenten. Op dat moment had de exchange ook deposito’s en opnames opgeschort om gebruikers te beschermen. De hoeveelheid gelekte gebruikersinformatie werd echter geheim gehouden.

Naast afbeeldingen van paspoorten, rijbewijzen en daadwerkelijke portretfoto van gebruikers die hun ID’s vasthouden, heeft Platon ook enkele voorbeelden van metagegevens bij de afbeeldingen geleverd.

Verder stuurde Platon aan CoinDesk een code die hij beschreef als toegang tot een achterdeur geplaatst in Binance-servers door een “insider”. Analyse van de code suggereert dat Platon correct is.

“Dit is zeer waarschijnlijk een API-sleutelaanval,” zei Viktor Shpak, CTO bij blockchain-ontwikkelingsbedrijf VisibleMagic. “Ze hebben ergens API-sleutels verzameld.”

API-sleutels worden gebruikt om services binnen beurzen en andere applicaties te authenticeren en kunnen een hacker in staat stellen om alles te doen, van het kopen van cryptocurrency namens een slachtoffer tot het daadwerkelijk verplaatsen van cryptocurrency naar een externe wallet.

Shpak zei dat met name de code een achterdeur binnen Binance suggereert, hoewel CoinDesk niet in staat was om onafhankelijk de toegang via deze functie te verifiëren met de bijbehorende API-sleutel.

“Hoogstwaarschijnlijk heeft een insider een handler gemaakt om toegang te krijgen tot API-sleutels van gebruikers. Vervolgens hebben ze die API-sleutels verzameld en toegang gekregen tot gebruikersgegevens en hiermee een mooie toolkit gebouwd om zich door het systeem te lozen,” zei hij.

Hoewel toen destijds geconfronteerd met deze informatie, zei een vertegenwoordiger van Binance: “Vanaf het laatste nieuws van het team is er op dit moment geen bewijs dat dit KYC-afbeeldingen van Binance zijn en ze niet zijn voorzien van watermerken via ons systeemproces.”


De motivatie van Platon

Terwijl hij met CoinDesk sprak, nam Platon ook contact op met de Chief Growth Officer (CGO) van Binance, Ted Lin, als onderdeel van een multi-frontinspanning om de hackers voor het gerecht te brengen (zo beweert hij).

“Ik wilde persoonlijk van Binance de eerste exchange ter wereld maken die hackers oppakt. Het zal uiterst positief zijn voor de reputatie van Binance, “zei Planton, die eraan toevoegde:

“Ik heb [Lin] geïnformeerd dat ik voorkennis heb, zoals het detail van de insider, de communicatiegegevens van de insider met buitenstaanders en zelfs de foto van de insider. Ik heb hem laten weten dat ik details van hackers heb – serverinformatie, hun identiteit, hun telefoonnummers en enz. ”

In een bericht van Lin dat Platon deelde met CoinDesk, stond de CGO open voor informatie die zou kunnen leiden tot de arrestatie van hackers, insiders en het terugvorderen van fondsen.

In hetzelfde bericht wees Lin echter Platon af voor de ‘FUD-campagne’ die hij uitvoerde.

“Zoals ik al zei, reageren we niet op afpersingen,” zei Lin. In eerdere gesprekken met CoinDesk beweerde Platon genoeg geld te hebben.

Hij zei ook dat hij niet geïnteresseerd was in financiële beloningen. “Als ik geld nodig heb, kan ik gewoon een saldo van een exchange account hacken. Ik kon gemakkelijk meer dan 600 of 700 munten ophalen door de walletvan een hacker te hacken, zei Platon.

“Maar ik heb geen enkele cent aangeraakt terwijl ik zag dat steeds meer munten werden witgewassen en verplaatst om het spoor te verwijderen,” zei hij, bewerend dat hij de hackers niet wilde laten weten dat hij op hun spoor zat.


Het gesprek

Ondanks de zogenaamde onbaatzuchtige doelstellingen van Platon, kwam er later naar buiten dat de zogenaamde white hat hacker 300 Bitcoins vroeg, ongeveer $3 miljoen dollar voor zijn informatie. Deze Bitcoins wou hij in 50 termijnen betaald krijgen.

Echter, midden in het gesprek hielden de onderhandelingen op. Vijf dagen na het eerste contact zei Platon dat hij was gestopt met onderhandelen met Binance.

“Voor ongeveer een maand onderhandelen, betaalden ze geen enkele cent,” zei Platon. “Mijn deal met Binance is verbroken.”

Het was op dat moment dat Platons gesprekken met Binance ontaarden in een gijzeling-onderhandeling, waarbij Platon dreigde alle klantinformatie die hij had verkregen te dumpen. Platon leverde de volgende vermeende uitwisseling met Ted Lin waar de onderhandelingen mislukten:

Ted Lin, [20.07.19 19:54]
Ik zie dat je de info die je hebt al aan de media hebt doorgespeeld.

Ted Lin, [20.07.19 19:59]
Aangezien de schade van je FUD-campagne al is aangericht, zou de premie die je vroeg te ontvangen voor de informatie aanzienlijk minder zijn. Zoals ik al zei, reageren we niet op afpersingen. Maar we zijn bereid om meer informatie over daders te krijgen als u nuttige informatie hebt die ons in staat stelt slechteriken achter de tralies te plaatsen en geld terug te krijgen.

Platon, [21.07.19 16:53]
Zoals ik al zei, ik heb je geld niet nodig.

Platon, [21.07.19 16:53]
Ik hoef de deal niet meer te sluiten.

Platon, [21.07.19 16:54]
Ik verwacht ook niet dat je reageert.

Platon, [21.07.19 16:59]
Maar ik zie graag de reactie van de insiders en de hackers wanneer het nieuws wordt gepubliceerd. Nogmaals, ik ben niet geïnteresseerd in je reactie.

Ted Lin, [21.07.19 19:04]
Ik dacht dat je die hackers opgepakt wilde zien?

Platon, [21.07.19 19:11]
Dat wilde ik. Maar niet nu.

Platon, [21.07.19 19:12]
Ik stap liever aan de kant en blijf kijken.

Ted Lin, [21.07.19 19:19]
We zijn nog steeds geïnteresseerd in het betalen voor informatie die kan leiden tot arrestatie van hackers, insiders en terugvordering van fondsen.

Ted Lin, [21.07.19 19:19]
Laat het ons weten als u meer informatie heeft die dat kan bereiken.

Ted Lin, [21.07.19 19:20]
We waren bezig met het verifiëren van het type informatie dat je hebt voordat je besloot niet te praten.

Ted Lin, [21.07.19 19:21]
Laat het me het weten als je van gedachten verandert en door wilt gaan.

Ted Lin, [21.07.19 19:21]
Bedankt voor je hulp.

Platon, [21.07.19 19:28]
Betaal me dan.

“Mijn beslissing om met Binance te onderhandelen was verkeerd,” zei hij, “Het zijn niet de juiste mensen … dus ik zal alle gegevens gewoon publiceren aan de klanten.”

Op 5 augustus werden de bedreigingen van Platon werkelijkheid, toen hij een documentendump met in totaal 500 foto’s voor de KYC van 166 mensen uploade naar een open site voor het delen van bestanden. Dit deed hij onder het pseudoniem “Guardian M.”

Vlak hierna volgde een tweede dump met honderden afbeeldingen van individuen die hun ID vasthielden. Deze dump werd geplaatst in een Telegram-groep op woensdagochtend.

“Mensen blijven vragen:” Waarom geef je die KYC-foto’s vrij? “,” Hoe heb je ze gekregen? “De reden waarom ik die KYC vrijgeef is simpel: om je mensen te waarschuwen die te maken hebben met Binance.”. “Als ik geld nodig had, zou ik het ondergronds verkopen, en het niet publiceren.”

 
binance kyc

Bitvavo Actie! €1000 Gratis Handelen

Bitvavo exchange

Maak een account aan via Newsbit op Bitvavo en betaal over de eerste €1000 euro geen handelskosten! Bitvavo is in Nederland de goedkoopste en enige officiële cryptocurrency exchange.

 

knop_account-aanmaken