イランの仮想通貨取引所が誤って23万人分の顧客データを公開
イランの仮想通貨取引所Bit24.cashが、23万人近くのユーザーの機密データを誤って公開した事が最近の調査によって判明した。
米国のセキュリティ専門メディアであるCybernews(サイバーニュース)が実施した調査によると、イランの仮想通貨取引所 Bit24.cash は、高性能オブジェクトストレージ システムインスタンスを誤って構成し、プラットフォームのKYC(顧客確認)データを含むクラウドストレージコンテナへのアクセスを誤って許可してしまったとのこと。
調査を実施した研究者らによると、約23万人のイラン国民が設定ミスの犠牲が発生。パスポート、身分証明書、クレジットカードなどの機密情報とともに規制への書面による同意が漏えいしたことが同調査によって判明したという。Bit24.cashの広報担当者は同メディアへのコメントの中で、今回の主張は「不正確で誤解を招く」と述べ、データ侵害やユーザーの機密情報への不正アクセスの証拠はないことを強調したうえで、次のように語っている。
設定が間違っているMinIOインスタンスがKYCデータを含むS3バケットへのアクセスを許可するという記述は完全に虚偽であり、当社のシステムアーキテクチャやセキュリティ プロトコルと一致しません。MinIOセットアップとクラウドストレージコンテナが安全なままであり、機密性の高いユーザーデータへの不正アクセスがなかったことを確認できました。
懸念するユーザーに対してサポートチームへ連絡を推奨
Bit24.cash のセキュリティエンジニア、ホセイン・アミニ(Hossein Amini)氏はユーザーデータが安全であると安心させたものの、同メディアは懸念するユーザーに対し、この問題に関してプラットフォームのサポートチームへ連絡するよう推奨している。
Bit24.cashは、Wallex.ir、Excoino、Aban Tetherなどの他のイランの仮想通貨取引所とともに、2022年にイランの取引所に流入した国内外の全資金の12%を占めた。仮想通貨詐欺と金融犯罪を監視、検出、調査などを手掛けるTRM Labsのレポートによると、イランの取引所に送金されたカウンターパーティ資金の約90.3%は外部取引所から、4.9%はスマートコントラクトから、そして4%はホストされていないウォレット経由であった事が判明している。
