Binance onder vuur, hacker eist 300 BTC aan losgeld

Paspoorten op Telegram

Het nieuws verspreidde zich als lopend vuurtje, niet in de minste plaats omdat de hacker een Telegram-groep had geopend waar hij zijn bewijs tentoonstelde. Het blijkt om afpersing te gaan: Binance moet 300 BTC (een kleine $3,5 miljoen), anders worden 10.000 foto’s uit Know your Customer-gegevens gepubliceerd.

Naar eigen zeggen heeft Binance medewerking geweigerd. “Omdat we niet meewerken, is dit individu begonnen met het distribueren van gegevens naar het publiek en de media”, schrijft Binance in de blogpost over de zaak. “We onderzoeken nog of wat er geclaimed is legitiem en relevant is”.

Binance gelooft het niet

“We zien tegenstrijdigheden als we onze gegevens vergelijken met de gegevens van de hacker”, vervolgt de officiële update. “Op dit moment is er geen bewijs dat er KYC-afbeeldingen van Binance zijn verkregen, omdat het digitale watermerk ontbreekt dat ons systeem aan documenten toevoegt.” Het onderzoeksteam van Binance blijft echter aan het werk: “We doen ons best om alle mogelijke aanknopingspunten na te lopen om de bron van de afbeeldingen te achterhalen.”

Er zit enige discrepantie tussen de door Binance gepubliceerde blogpost en de manier waarop CEO Changpeng Zhao erover spreekt. Hij is veel stelliger: het is FUD, en het gaat om oude gegevens in een nieuw jasje.

Don't fall into the "KYC leak" FUD. We are investigating, will update shortly.

— CZ Binance (@cz_binance) August 7, 2019

Gegevens van eerdere hack

Op dit moment gaat Binance er vanuit dat het om gegevens gaat die al eerder op straat lagen. “Het lijkt erop dat alle afbeelingen dateren van februari 2018”, schrijft Binance. “Toentertijd gebruikten we een derde partij voor het afhandelen van KYC-procedures om de vraag ernaar aan te kunnen. We hebben navraag gedaan bij die partij voor meer informatie.”

Desondanks gaat Binance er vanuit dat alle nog te onderzoeken sporen niets opleveren: “We geloven dat een dataset is gebruikt die al eerder in het nieuws is verschenen.” Het gaat om gegevens die in de loop van 2018 verspreid werden via het darkweb. Toentertijd gaven zowel Kraken als Binance aan dat de gegevens niet van hen afkomstig zijn, maar op andere manieren zijn verzameld.

Volgens Binance zijn alle relevante politiediensten ingeschakeld, en wordt met hen samengewerkt om de persoon (of personen) achter de afpersing aan de haak te slaan. Mocht je daarbij kunnen helpen: er wacht een forse beloning op je. Afhankelijk van de informatie die je hebt, kan je tot 25 BTC verdienen.

Veelgestelde vragen

We hebben bewust geen link naar de Telegram-groep geplaatst waar de afbeeldingen werden geüpload. Dat zou nu overigens ook geen zin meer hebben: de groep is inmiddels verwijderd.

Waarom werden gegevens op Telegram geplaatst?

Waarschijnlijk enkel om druk uit te oefenen op Binance. Er staat immers 300 BTC op het spel. Een ander motief kan zijn om gegevens van mensen te verzamelen die deelnemen aan de groep, of onder hen malware te verspreiden.

Ik zat in de Telegram-groep, zijn mijn gegevens veilig?

Zou er middels een bot een poging gedaan zijn om gegevens te verzamelen, gaat het enkel om de ingevoerde voornaam, achternaam, en gebruikersnaam. Telefoonnummers zijn volgens Telegram-documentatie niet via bots te verkrijgen.

Je kan overigens aardig wat instellen rondom privacy en veiligheid in de Telegram-applicatie. Als je daarvan niet op de hoogte bent: loop het even na. Denk aan tweestapsverificatie, wie jouw gegevens mogen zien, en of je zomaar aan groepen toegevoegd mag worden.

Waarom zou mijn telefoonnummer interessant zijn?

Steeds vaker is te horen dat hackers toegang proberen te krijgen tot (crypto)geld door 06-nummers te kapen. Hier lees je meer over de manier waarop dat in z’n werk gaat. De oplossing is overigens eenvoudig: gebruik nooit SMS als onderdeel van procedures die veilig moeten zijn. Denk aan een inlogproces. Daar zijn veel veiligere alternatieven voor, zoals het genereren van inlogcodes op je eigen apparaat.

Bij een aantal provides kan je ook een wachtwoord opgeven waarmee je jouw gegevens afschermt. Alleen na het opgeven van dat wachtwoord (online, telefonisch, of in de winkel) kunnen je gegevens dan nog aangepast worden.

Liggen mijn gegevens op straat?

Dat antwoord kunnen we je niet geven: we hebben de dataset niet in handen. Er zijn wel websites waar je kunt controleren of je betrokken bent geweest bij zogeheten ‘data breaches’. Dit is er een voorbeeld van. Zorg er in ieder geval voor dat je zeer zorgvuldig omgaat met persoonlijke gegevens. Als je ergens KYC-documenten hebt ingestuurd, kan je een poging doen te vragen of ze verwijderd worden. Of op dat verzoek wordt ingegaan, hangt af van de dienstverlener die je hebt gebruikt.