エルサルバドルのチボビットコインウォレットコードが漏えい
エルサルバドルの国営ビットコインウォレットChivo(チボ)は、ソースコードとVPNの詳細が漏えいする2度目の大規模な侵害に直面しており、約510万人のユーザーに影響を与えている事が分かった。
El grupo #hacker #CiberInteligenciaElSalvador, anuncia en su cuenta de Telegram que publicará parte del código fuente y accesos VPN de #Chivo #Wallet (@chivowallet), la billetera oficial de #Bitcoin y #Dólar creada por el #Gobierno de #ElSalvador 🇸🇻 (@Gobierno_SV)… pic.twitter.com/AUG8PM1VN8
— VenariX en Español (@_venarixES_) April 22, 2024
グループhacker、CiberInteligenciaElSalvador、そのTelegramアカウントでChivo Wallet@chivowallet、Gobiernoによって作成されたBitcoinおよびDólarの公式ウォレットのソースコードの一部と VPNアクセスを公開すると発表しました。
2024年4月23日(火曜日)、CiberInteligenciaSV と呼ばれる匿名の悪者が、エルサルバドルの国営ビットコイン(Bitcoin/BTC)ATM用のChivoのソースコードとVPN認証情報の一部を漏えい。この情報は、主に犯罪者や悪意を持つハッカーが利用することの多いプラットフォームBreachForumsで公開され、次のように記載されている。
今回は、エルサルバドルのビットコインチボウォレットATM 内にあるコードをお届けします。これは政府のウォレットであることを忘れないでください。ご存じのとおり、私たちは販売せず、すべてを無料で公開します。
エルサルバドル国営ウォレットChivoの大失敗
Chivoは、エルサルバドル政府が提供する公式ビットコインストレージソリューションだ。
ナイブ・ブケレ(Nayib Bukele)大統領が2021年9月にビットコインを法定通貨として正式に採用した後、ウォレットは国家ツールとなり、世界で初めてビットコインを法定通貨として導入した国となった。エルサルバドル国民はChivoを使用してビットコインを売買できるほか、エルサルバドル全土のビットコインATMから仮想通貨の引き出しが許可されている。しかし、ユーザーによる、実行速度の遅さやアプリのクラッシュ、その他のバグなど、ウォレットに関する問題が報告されており、リリース直後からChivoの問題が露呈していた。
同国政府は、技術的な不具合に対処するために米国のホワイトラベルソフトウェア会社AlphaPointと提携し、問題の解決に向けて動いていた。しかし、2024月初めに約500万人の個人情報がオンラインで公開されたことを受けて問題がエスカレート。DataBreachesによると、144GBの漏えいはアレハンドロ・ムイショント(Alejandro Muyshondt)という元国家安全保障担当補佐官から抽出されたもので、ハッカーはクラウドのバックアップからファイルにアクセスしたという。
当初、その情報源は不明瞭で、氏名、生年月日、個人のプロフィール写真、住所などの詳細が記載されていたため、ワクチン接種データベースと間違われていた。しかし、専門家は後にファイルをChivoのサインアップ要件に関連付けたとのことだ。なお、ブケレ政権は今回の事件について、何が起こったのかについて沈黙を続けており、機密情報を保護するために実施されてきた措置に国民や監視員の間で大きな不安および混乱が生じている。
