Gevoelige gegevens van meer dan 6.000 Web3-gebruikers gestolen – BitcoinBlog.de – de blog voor Bitcoin en andere virtuele valuta

De Berlijnse identiteitsstart-up Fractal ID kreeg onlangs te maken met een hack: de gegevens van ruim 6.000 klanten werden gestolen. Dat is jammer, want Fractal ID biedt eigenlijk een opwindend product voor gedecentraliseerde financiering.

Op 14 juli van dit jaar moet er opwinding zijn geweest in het kantoor van Fractal ID in Berlijn. Om 07.00 uur sloegen de systemen alarm omdat er ongebruikelijke activiteit op een server werd gedetecteerd. Kort daarna werd duidelijk dat het om een ​​aanval ging. Ingenieurs hebben het subsysteem afgesloten om de schade te beperken.

Maar voor 6.300 gebruikers, ongeveer 0,5 procent van alle Fractal ID-klanten, was het al te laat. De hackers hebben gevoelige gegevens gestolen. Wat precies verschilt, is afhankelijk van de gebruiker. In het beste geval alleen de naam, portemonnee en e-mailadres, in het slechtste geval het hele programma, inclusief postadres en ID-scan. Een nachtmerrie.

Het incident zou het gevolg zijn van een hack in september 2022, waarbij een ‘operator’ – een klant of dienstverlener van Fractal ID – besmet raakte met malware die op dat moment in omloop was. Deze malware stal een wachtwoord en de operator veranderde dit niet, ondanks dat hij op de hoogte was van het incident. Met dit wachtwoord kon de hacker onlangs met beheerdersrechten toegang krijgen tot interne systemen en persoonlijke gegevens stelen.

Fractal ID heeft nu nieuwe beveiligingsmaatregelen geïntroduceerd, zoals robuustere inlogsystemen en strengere IP-controles. Maar er bestaat geen twijfel over dat het incident een ernstige tegenslag is voor de startup. Zoals het zelf schrijft, zijn ze zich ervan bewust dat dit “echt pijnlijk is voor de getroffen gebruikers” en “ook pijnlijk voor ons, aangezien we de plicht hebben om de gegevens van de gebruikers te beschermen.”

Gedecentraliseerde identiteit voor gedecentraliseerde ecosystemen

Als identiteitsdienstverlener beweegt de Berlijnse startup zich tussen het oude web en het op blockchain gebaseerde Web3. Het biedt software waarmee gebruikers hun identiteit rechtstreeks kunnen laten verifiëren of bedrijven zoals beurzen of banken de identiteitsverificatie kunnen uitbesteden. In tegenstelling tot andere soortgelijke aanbieders koppelt Fractal ID de identiteit aan het Web3 van blockchains.

Gebruikers kunnen hun identiteit koppelen aan een portemonnee-adres. Gedecentraliseerde applicaties (Dapps), zoals gedecentraliseerde uitwisselingen, kunnen vervolgens via API de Fractal ID-database opvragen voor een portemonnee-adres. Als alternatief kunnen slimme contracten verbinding maken met het DID-register om toegang te krijgen tot lijsten met geverifieerde portemonnee-adressen.

Degenen voor wie de kracht van cryptocurrencies voornamelijk in de anonimiteit of pseudonimiteit van gebruikers ligt, zullen dergelijke identiteitsoplossingen waarschijnlijk heftig afwijzen. Maar er zijn enkele toepassingen waarbij er nauwelijks omheen kan; Het is niet de vraag óf, maar hoe erg het wordt.

Airdrops die munten distribueren, DAO’s waar gebruikers stemmen, of sociale Dapps zoals Common Ground hebben er belang bij om niet overspoeld te worden door sokpoppen, bots en AI’s. Met ‘Proof of Personhood’ kan Dapps controleren of een gebruiker een uniek individu is.

Aan de andere kant vereisen gedecentraliseerde beurzen die de handel in zogenaamde ‘echte wereld activa’ mogelijk maken – zoals staatsobligaties, aandelen of andere effecten – een bewijs van volledige verificatie. Deze exchanges kunnen met Fractal ID controleren of een portemonnee die inlogt geverifieerd is.

Niet perfect, maar wel een enorme stap voorwaarts

In beide gevallen heeft de Dapp geen toegang tot privégegevens. Het enige dat u weet is dat Fractal ID de gebruiker heeft geverifieerd en indien nodig en afhankelijk van het verificatieniveau ook over deze gegevens beschikt.

Waarom zou een gedecentraliseerde centrale weten wie een gebruiker is – als de politie of de belastingdienst de identiteit indien nodig kan achterhalen? En waarom zou een Dapp je hele identiteit controleren om uit te sluiten dat je met een bot te maken hebt – als een simpel ‘bewijs van persoonlijkheid’ voldoende is?

Fractal ID is natuurlijk niet perfect. Maar het is een enorme vooruitgang ten opzichte van klassieke identiteitsprocessen, waarbij privégegevens, foto’s, ID-scans, namen, adressen enzovoort niet slechts op één server staan, maar op meerdere servers, omdat elke centrale en elke dienstverlener zij zelf.

Het allerbelangrijkste is dat Fractal ID een van de eerste Web3-identiteitsdienstverleners lijkt te zijn die een enigszins significante marktpenetratie heeft bereikt. De startup werkt met blockchain-ecosystemen zoals Polygon, Avalanche, Ripple, Near of Manta, maar ook met Dapps zoals Polytrade, een gedecentraliseerde uitwisseling voor activa uit de echte wereld, of Common Ground, een op tokens gebaseerde chat-app zoals Discord of Slack. Het zou zonde zijn als de hack deze prestaties teniet zou doen.