Alerta: 57.000 utilizadores da Transak expõem os seus dados KYC em grande fuga de informação

A Transak acaba de confirmar aquilo que muitos temiam: os seus dados pessoais foram roubados. E não foi um ataque sofisticado, mas sim algo mais simples e assustador: phishing no portátil de um funcionário.

O que aconteceu

O grupo de ransomware Stormous conseguiu aceder a 300 GB de informação sensível, incluindo documentos de identificação, selfies e estados financeiros recolhidos durante a verificação KYC. Isto afeta 57.000 utilizadores da plataforma (aproximadamente 1,14% da sua base total).

O inquietante: alguns desses dados já circulam online.

Estás em risco?

A Transak utiliza a MetaMask e a Coinbase, por isso, se verificaste a tua identidade através destas plataformas, os teus dados KYC podem estar comprometidos. A boa notícia: os teus fundos não estão em perigo porque a Transak opera com um modelo sem custódia (non-custodial).

O mau: a tua identidade sim. Não há números de cartão de crédito nem números de segurança social comprometidos, mas ter a tua foto e documento de identificação nas mãos de criminosos já é suficientemente grave.

O que aconteceu depois

• A Transak despediu o funcionário
• O Stormous ameaça divulgar mais dados se não for pago o resgate
• A empresa recusou negociar com os atacantes
• Já contratou especialistas em cibersegurança para investigar

Lição para o sector: O KYC é necessário, mas a segurança destes dados continua a ser o ponto fraco de todo o ecossistema cripto. Um funcionário desprevenido pode custar 300 GB de informação pessoal. Isto é um alerta para que os fornecedores de verificação de identidade reforcem as suas medidas de segurança, porque o phishing continua a ser o vetor de ataque mais eficaz.