特纳克数据泄露影响9.2万用户：员工钓鱼攻击，勒索组织声称负责

近日，知名的加密货币入金服务商Transak披露了一起数据泄露事件，涉及超过92,554名用户，起因是一名员工的笔记本电脑遭遇钓鱼攻击而被黑客入侵。此次泄露暴露了用户的敏感身份验证（KYC）数据，凸显了加密货币行业在网络安全防御方面的持续脆弱性。

事发经过

在10月21日的一篇官方博客文章中，Transak透露，一名恶意攻击者通过钓鱼攻击获得了该员工笔记本电脑的访问权限，并由此侵入Transak所依赖的第三方KYC供应商系统，用于文档验证。被盗数据包括敏感的个人信息，如姓名、出生日期、护照、驾照以及用户的个人照片。公司强调，没有财务敏感信息受到影响，包括电子邮件地址、电话号码、密码、信用卡详情或社会保险号等。

泄露范围

此次数据泄露被归类为“轻度到中度”严重程度。Transak的CEO Sami Start确认，虽然泄露包括了基本的身份验证文件，但不涉及更关键的数据，如财务报表或社会保险号，从而降低了用户面临的即时风险。

尽管如此，一个勒索软件团伙声称对此次泄露负责，并声称已经获取了超过300GB的敏感数据，包括政府签发的身份证件和财务文件。他们威胁要发布或出售剩余数据，除非Transak满足其勒索要求。该团伙嘲笑了Transak提出的3万美元删除数据的报价，认为这是不够的。

员工违规：泄露的源头

Transak的CEO透露，泄露发生是因为该员工将笔记本电脑用于非工作相关活动。受感染的设备被恶意脚本侵入，这为攻击者提供了访问KYC系统的途径。涉事员工已被解雇。

Start指出，漏洞仅限于第三方KYC供应商。他否认了其他系统也被侵入的说法，并表示：“任何关于访问其他系统的谣言都不是真的。攻击者只访问了这一个供应商的数据。”

与勒索软件团伙的谈判

尽管勒索软件团伙声称获得了敏感的财务文件和Transak更大范围的数据，但公司拒绝进行谈判。Start表示，公司不知道他们是否真的这么做了，或者他们只是在声称对此负责。他还对该团伙声称拥有更多敏感数据表示怀疑，并挑战他们提供额外访问的证据。

加密货币行业与网络安全的持续斗争

Transak的数据泄露并非加密货币世界中的孤立事件。最近，金融服务行业的巨头Fidelity Investments披露了一起数据泄露事件，影响了8月17日至8月19日期间超过77,000名用户。这是Fidelity在过去一年中的第四次泄露，凸显了金融机构面临的网络安全挑战的频率。

Transak作为加密行业的关键参与者，为包括Binance、MetaMask和Coinbase在内的大型加密钱包和交易所提供法定货币到加密货币的入金服务。该公司促进了非托管入金方式，使其成为加密生态系统的重要组成部分。随着该公司与美国、英国和欧盟的监管机构合作应对此次泄露，整个加密行业再次被提醒需要加强网络安全措施。

结论

Transak的数据泄露事件提醒加密货币行业必须高度重视网络安全的重要性。尽管该公司已向用户保证没有财务数据被泄露，但个人身份验证文件的泄露仍然引发了严重的隐私担忧。随着该公司处理这一事件的后果，包括与勒索软件团伙的对峙，此次泄露凸显了即使是加密领域最成熟的参与者也面临的持续脆弱性。

Transak对此次泄露的处理将受到监管机构、用户和行业同行的密切关注，因为加强安全协议的需要仍然是整个加密货币行业的一个优先事项。