Analyse de la situation sur la fuite des données de Binance
Mercredi 7 août, un groupe de discussion sur Telegram créé par un administrateur sous le pseudonyme de « Guardian M » a diffusé des centaines d'images d'individus brandissant leurs papiers d'identité accolés à des morceaux de papier indiquant « Binance, 24/02/2018 ». L'administrateur du groupe affirmant que les données présentées avaient été récupérées par un hack sur l'exchange.
Une entreprise tierce en cause ?
Aujourd'hui, le groupe a été fermé par son créateur et n'est plus accessible, mais un nouveau groupe a été recréé il y a quelques heures. Ce sont tout de même près de 1.000 identités qui ont été diffusées en quelques heures et cela semble continuer. L’administrateur aurait déclaré à CoinDesk être en possession de plus de 60.000 photographies qui auraient été envoyées en guise de « KYC »lors de l'inscription des utilisateurs sur la plateforme.
Dans son communiqué officiel, Binance a déclaré que les informations diffusées au sein du Telegram ne correspondent pas aux données du système interne de Binance, et qu'il n'y a donc aucune preuve jusqu'à présent qu'elles proviennent directement de l'exchange en lui-même. L'entreprise a ajouté qu'aux alentours de février 2018, elle était sous une charge très élevée de demandes de vérification. Ne pouvant plus s'en occuper en interne en raison de cette arrivée rapide de ces nouveaux utilisateurs, Binance avait passé un contrat avec un fournisseur tiers pour la vérification de l'identité de ses clients.
L'exchange n'a pas précisé dans quelles mesures ce fournisseur tiers a pu avoir accès aux données sur l'identité du client et sur la récupération potentielle des images qu'il aurait traitées. Binance a ajouté :
“ Actuellement, nous enquêtons avec le prestataire tiers pour obtenir plus d'informations. Nous poursuivons notre enquête et nous vous tiendrons au courant. ”
Plusieurs personnes ayant été touchées par cette fuite de données ont été mises en contact avec CoinDesk et nous donnent des informations intéressantes. Le premier utilisateur a dévoilé que sa photo d'identification sauvegardée sur son téléphone et enregistrée le 24 février est identique à celle qui avait été postée sur Telegram.
Le cas du second utilisateur concerné est bien différent. Il semblerait d'après les analyses réalisées par CoinDesk via un outil de vérification des photographies que l'adresse sur le document d'identité a été modifiée par un logiciel d'édition.
Photo dévoilée sur le Telegram qui semble avoir été modifiée - Source : CoinDesk
L'analyse réalisée avec le site de vérification FotoForensics suggère que certaines parties de l'image ont été modifiées, en particulier les bords plus clairs de la photo ci-dessus.
“ Tous les bords à contraste élevé doivent se ressembler et tous les bords à faible contraste doivent se ressembler. Avec une photo originale, les bords à faible contraste doivent être presque aussi brillants que les bords à fort contraste.”
Avec ces témoignages, il est indéniable que les différentes photos sont réelles et proviennent bien de Binance ou de l'entreprise tierce ayant réalisé la mission de vérification pendant un certain temps. Même si certaines photos semblent avoir été modifiées pour une raison encore inconnue, certaines sont conformes aux originales et donnent la totalité des informations sur l'identité des individus. Mais l'affaire concernant cette fuite de données n'est pas aussi « simple ».
Une affaire qui remonte au précédent hack de Binance
Dans ce qui semble être une sorte de combat de hackers contre hackers, l'individu, opérant sous le pseudonyme « Bnatov Platon » et étant prétendument l'administrateur du groupe sur Telegram, a fourni à CoinDesk les raisons pour lesquelles il diffuse ces données confidentielles. L'affaire remonterait à l'incident survenu en mai lorsqu'un groupe de hackers s'était emparé de 7000 bitcoins (BTC) sur Binance.
Dans un souci de transparence propre à l'entreprise, Binance avait directement communiqué sur le sujet en décrivant cet événement comme une « brèche de sécurité à grande échelle" dans laquelle « les hackers ont pu obtenir un grand nombre de clés API, de codes 2FA et éventuellement d'autres informations. » L'entreprise n'avait toutefois pas mentionné le fait que des renseignements sur l'identification des utilisateurs avaient pu être récupérés.
C'est au cours de cet incident que Bnatov Platon affirme que les informations qu'il a obtenues sur les clients de Binance ont été récupérées. Toutefois, il prétend ne pas être l'auteur du hack et qu'il aurait directement visé l'un des individus ayant commis le vol de Binance afin de récupérer les informations par son intermédiaire.
Une étrange méthode pour de bonnes intentions ?
Bnatov Platon a également approché le directeur de la croissance de Binance, Ted Lin, selon lui dans le cadre d'un effort commun pour faire comparaître les hackers en justice. Selon ses propres dires, son souhait serait d'aider Binance : « Je voulais personnellement faire de Binance le premier exchange au monde à capturer des hackers. Ce sera extrêmement positif pour la réputation de Binance. »
Il précise lors d'une communication avec CoinDesk les détails de son échange avec Ted Lin, affirmé en plus qu'il n'était pas intéressé par une compensation financière :
“ J'ai informé [Ted Lin] que j'ai obtenu des informations sur les hackers telles que les détails les concernant. [...] des informations sur le serveur, leur identité, leurs numéros de téléphone, etc. Quand j'ai besoin d'argent, je peux simplement pirater le solde d'un hacker. Je pouvais récupérer plus de 600 ou 700 bitcoins facilement en piratant le wallet d'un hacker.”
Bnatov Platon paraît être bien informé sur la situation concernant les 7000 bitcoins qui ont été volés à Binance, affirmant qu'il ne voulait pas avertir les hackers qu'il était sur leur piste il a ajouté :
“ Mais je n'ai pas touché un seul centime tout en regardant de plus en plus d'argent se faire blanchir et déplacer pour effacer les pistes. ”
Ted Lin a bien évidemment réagi négativement à ses actions et a mis en évidence le « FUD » qu'il était en train de créer autour de l'exchange et de la confiance des utilisateurs.
Malgré les intentions initiales de Platon, il était déjà en discussion avec Binance plusieurs semaines avant l'incident. C'est durant ces négociations qu'il réclamait la somme de 300 bitcoins à Binance, ce qui représentait lors de sa demande près de 3 millions de dollars. Cela étant plutôt contradictoire avec ses paroles précisant qu'il n'avait pas besoin d'une compensation. Cependant, les négociations n'ont pas abouti et Platon a alors déclaré cessation de toute discussion avec Binance : « Mon accord avec Binance est cassé ». C'est donc à partir de ce moment que Platon a décidé de révéler au public toutes les informations en sa possession et donc de publier les photos.
Maintenant que Bnatov Platon n'est plus vraiment du côté de Binance, il continuera de diffuser les données en sa possession sur Telegram. Bien sûr, son identité est toujours inconnue et nous ne savons toujours pas s'il agit seul ou s'il fait partie d'un groupe. En réaction à cet événement, Binance a informé de ne pas céder à la panique et qu'ils faisaient actuellement tout leur possible pour arrêter les méfaits du hacker.