Trang chủ Sự kiện Kẻ trộm danh tính khai thác quy trình thiết lập ví Bitcoin Chivo của El Salvador

Kẻ trộm danh tính khai thác quy trình thiết lập ví Bitcoin Chivo của El Salvador

bởi Bảo Đức

Hàng trăm người Salvador nói rằng tin tặc đã mở Ví Chivo bằng số ID của họ để yêu cầu khoản khuyến khích bitcoin trị giá 30 đô la mà chính phủ của Nayib Bukele treo.

Lúc đầu, Cynthia Gutierrez từ chối tải xuống Chivo, ví kỹ thuật số do chính phủ El Salvador phát triển để sử dụng bitcoin trên toàn quốc và được phát hành vào ngày 7 tháng 9.

Cô quyết định mở ứng dụng vào ngày 16 tháng 10 sau khi biết được từ những người đồng hương Salvador rằng tin tặc đã kích hoạt ví liên quan đến các số chín chữ số trên chứng minh thư của họ, được gọi là DUI cho từ viết tắt của nó bằng tiếng Tây Ban Nha.

Gutierrez, 28 tuổi, nói với CoinDesk: “Điều này ngày càng phát triển, tiếp cận với cộng đồng thân thiết của tôi.”

Khi Gutierrez nhập thông tin cá nhân của cô ấy, một màn hình xuất hiện cho biết số tài liệu của cô ấy đã được liên kết với một chiếc ví. Ngay lập tức, cô đã chụp ảnh màn hình vì lo sợ rằng dữ liệu của mình sẽ bị sử dụng vào mục đích bất chính.

Trường hợp của Gutierrez là một trong số hàng trăm trường hợp mà người Salvador đã báo cáo trên phương tiện truyền thông xã hội và cho những người ủng hộ địa phương kể từ tháng 9, khi bitcoin được thiết lập dưới dạng đấu thầu hợp pháp và Chivo bắt đầu được sử dụng rộng rãi trong nước.

Từ ngày 9 tháng 10 đến ngày 14 tháng 10, Cristosal, một tổ chức nhân quyền ở El Salvador, đã nhận được 755 thông báo về việc người Salvador báo cáo hành vi trộm cắp danh tính bằng Ví Chivo của họ, Rina Montti, giám đốc nghiên cứu nhân quyền của nhóm, nói với CoinDesk.

Trong phần lớn các trường hợp đó, những người Salvador bị ảnh hưởng đã cố gắng kích hoạt ví của họ sau khi họ biết được số lượng lớn người báo cáo rằng danh tính của họ đã bị đánh cắp.

Các tin tặc có một động lực: Mỗi ví chứa bitcoin trị giá 30 đô la, được cung cấp bởi chính quyền của Tổng thống Salvador Nayib Bukele để khuyến khích người dân sử dụng tiền điện tử.

Chính phủ El Salvador đã không trả lời yêu cầu bình luận về tuyên bố đánh cắp danh tính liên quan đến ví vào thời điểm báo chí.

Với việc áp dụng bitcoin, Bukele đã định vị quốc gia Trung Mỹ của mình là trung tâm của cuộc thảo luận toàn cầu về tương lai của tiền tệ. Quá trình này không phải là không có những người chỉ trích nó, chẳng hạn như những điều được thực hiện trái với Điều 7 của luật, quy định rằng tất cả các thương gia phải chấp nhận bitcoin như một hình thức thanh toán khi khách hàng cung cấp.

Tổng thống sau đó đã phủ nhận rằng việc chấp nhận bitcoin sẽ là bắt buộc. Người dân Salvador bối rối bởi sự khác biệt giữa những gì tổng thống nói và những gì luật pháp quy định.

Vào tháng 8, các cuộc thăm dò cho thấy 65% ​​đến 70% người Salvador phản đối việc áp dụng bitcoin và một số cuộc tuần hành phản đối đã diễn ra trên đường phố. Theo dữ liệu chính thức mới nhất do Bukele cung cấp vào cuối tháng 9, hơn 2 triệu người đã tải xuống Ví Chivo, như một phần của chương trình nghị sự tích cực bao gồm khai thác bitcoin bằng năng lượng núi lửa.

Dễ bị lừa

Theo trang web chính thức của Chivo, việc mở tài khoản yêu cầu quét DUI trước và sau, sau đó thực hiện nhận dạng khuôn mặt để kiểm tra danh tính của người đăng ký. Nhưng một số người Salvador đã báo cáo bằng chứng cho thấy hệ thống này có sai sót.

Khi Adam Flores, một Youtuber người Salvador điều hành kênh La Gatada SV, nghe nói về vụ hack, anh ấy nhớ rằng bà của anh ấy đã không mở Ví Chivo của mình và quyết định sử dụng trường hợp này như một bài kiểm tra. Mặc dù anh ta chỉ có một bản sao DUI của cô ấy, nhưng dù sao thì anh ta cũng đã thử nó và thật ngạc nhiên, ứng dụng đã chấp nhận tài liệu đó là hợp lệ.

Flores đã tiếp tục quá trình xác minh, sau đó yêu cầu nhận dạng khuôn mặt theo thời gian thực. YouTuber đã chụp một bức ảnh áp phích trên tường của anh ấy về Sarah Connor – một nhân vật trong loạt phim “Kẻ hủy diệt”.

Vài giây sau, Chivo Wallet chào đón bà của mình và tung ra khoản ưu đãi 30 đô la, theo một video Flores gửi cho CoinDesk để làm bằng chứng.

Các trường hợp khác được tải lên mạng xã hội trực tiếp cho thấy chỉ một bức ảnh ngẫu nhiên – trong một trường hợp là cốc cà phê – đã đủ để thay thế DUI và sau đó đánh lừa bài kiểm tra nhận dạng khuôn mặt.

Không phải lúc nào người dân Salvador cũng cố gắng tự mở tài khoản của họ. Theo Montti, của Cristosal, hầu hết trong số 700 người Salvador đã báo cáo hành vi trộm cắp danh tính đã yêu cầu người quen cố gắng chuyển tiền qua Chivo bằng cách đặt số DUI của họ vào trường người nhận. Họ phát hiện ra các địa chỉ đã sẵn sàng nhận chuyển khoản. Nói cách khác, số ID đã được đăng ký bởi một người nào đó không phải là chủ sở hữu hợp pháp.

Lo lắng về việc bị mạo danh, Ramón Esquivel đã nhờ một người quen gửi tiền vào ví bằng DUI của anh ấy vào ngày 11 tháng 10. Trước sự ngạc nhiên của anh ấy, việc chuyển tiền đã thành công, mặc dù anh ấy chưa bao giờ kích hoạt tài khoản của mình.

“Với sự tức giận, tôi nhận ra rằng họ đã sử dụng DUI của tôi,” Esquivel nói với CoinDesk, nói thêm rằng sau tập phim, anh ta đã đệ đơn khiếu nại lên văn phòng tổng chưởng lý. “Tôi bị cho là bị lợi dụng để thực hiện các hành vi rửa tiền sẽ được đăng ký dưới danh tính của tôi, làm ảnh hưởng đến sự liêm chính của tôi,” anh nói.

Các trường hợp khác cho thấy những kẻ lừa đảo chuyển tiền đến các tài khoản thậm chí không phải của họ mà là của những người bị hack khác.

Hỗ trợ khách hàng

Hai tuần trước, Gabriela Sosa, một người dẫn chương trình truyền thông ở Salvador, đã cố gắng kích hoạt Ví Chivo bằng DUI của mình, nhưng một thông báo lỗi xuất hiện trên màn hình thông báo rằng nó đã được đăng ký.

Ngay sau khi sự việc xảy ra, cô ấy đã gọi đến số hỗ trợ chính thức cho Chivo, 192. “Tôi đã liên tục gọi trong vài ngày cho đến khi họ nói với tôi rằng tôi phải đến một điểm Chivo,” Sosa nói với CoinDesk. Thứ bảy tuần trước, cô ấy đã đến trung tâm trợ giúp đó và tài khoản của cô ấy cuối cùng đã được phục hồi, nhưng tiền thì không.

Trên tài khoản Twitter của mình, Sosa đã tiết lộ thông tin chi tiết về tài khoản mà số tiền 30 đô la đã được chuyển đến. Tên của chủ sở hữu là Michael Santacruz.

Vài ngày sau, đồng nghiệp và đồng nghiệp đại học đã gửi ảnh chụp màn hình của dòng tweet đó cho Santacruz, người chưa bao giờ kích hoạt tài khoản Chivo của mình cho đến lúc đó, theo tin nhắn trò chuyện riêng tư mà anh ấy gửi cho Sosa mà cô ấy đăng.

Sau đó, anh ấy đã cố gắng mở tài khoản của mình nhưng một thông báo cho biết DUI của anh ấy đã được đăng ký. Giống như Sosa, Santacruz đã tiếp cận một trung tâm trợ giúp của Chivo và sau khi khôi phục tài khoản của mình, anh nhận ra rằng nó đã được sử dụng để nhận tiền từ 5 tài khoản bị tấn công, anh nói. (Các nỗ lực liên hệ với Santacruz để lấy ý kiến ​​đều không thành công.)

Cristosal không phải là tổ chức phi chính phủ (NGO) duy nhất giải quyết vấn đề này. Acción Ciudadana, một tổ chức phi lợi nhuận chuyên về kiểm toán xã hội, đã gửi thông báo đến Văn phòng Tổng chưởng lý (FGR) vào ngày 12 tháng 10 sau khi Chủ tịch Humberto Sáenz và Giám đốc Eduardo Escobar của nhóm phát hiện tin tặc đã đăng ký Ví Chivo của họ.

Acción Ciudadana nói với CoinDesk rằng cho đến nay, hai tuần sau khi nộp đơn, không có phản hồi nào từ FGR.

Laura Nathalie Hernández, một luật sư công nghệ tại công ty Legal Novis của Salvador, đã nhận được yêu cầu trợ giúp từ các nạn nhân bị đánh cắp danh tính liên quan đến Ví Chivo của họ. Khuyến nghị đầu tiên mà cô đưa ra cho những người bị ảnh hưởng là đăng vụ việc lên mạng xã hội để công khai và cũng gửi báo cáo cho văn phòng tổng chưởng lý.

Theo Hernández, thực thể quản lý ứng dụng nên là nơi đầu tiên nên chuyển đến. “Nhưng chúng tôi cũng không có nhiều thông tin về người chịu trách nhiệm,” cô nói và nói thêm: “Chúng tôi không biết ai quản lý nó, nếu có một công ty thứ ba. Đã không có sự minh bạch.”

Trách nhiệm giải trình không rõ ràng

Theo các điều khoản và điều kiện của Chivo, việc ủy ​​quyền tài khoản phải tuân theo quy trình tri thức khách hàng (KYC) được thực hiện bởi CHIVO S.A. de C.V., một công ty tư nhân do chính phủ tạo ra để khởi chạy ví. Quy trình xác minh này “bao gồm việc cung cấp thông tin và tài liệu cần thiết để tuân thủ đầy đủ quy trình.”

Trách nhiệm giải trình của công ty là không rõ ràng. Theo các điều khoản và điều kiện, người dùng đồng ý “không tiết lộ hoặc tiết lộ cho bên thứ ba bất kỳ thông tin, DUI, mật khẩu hoặc bất kỳ mã nào được sử dụng để truy cập trang web.” Nhưng các điều khoản cũng nêu rõ rằng nó “sẽ không chịu trách nhiệm về bất kỳ mất mát hoặc thiệt hại nào mà người dùng có thể phải chịu do bên thứ ba truy cập trái phép vào tài khoản của bạn do bị tấn công hoặc mất mật khẩu.”

Nhân viên hỗ trợ của Chivo đã không trả lời các câu hỏi của CoinDesk về việc ai chịu trách nhiệm cho một vụ hack mà chủ sở hữu tài khoản thực không cung cấp thông tin.

Ví cho biết thêm rằng các dịch vụ xác minh sẽ được cung cấp bởi công ty trực tiếp và/hoặc thông qua một bên thứ ba được công ty ký hợp đồng cho mục đích như vậy. Nhưng đến thời điểm báo chí, nó vẫn chưa trả lời câu hỏi của CoinDesk về việc bên thứ ba nào khác cung cấp dịch vụ nhận dạng cho nền tảng này.

Sosa, người dẫn chương trình truyền thông của Salvador, nói với CoinDesk rằng cuối cùng cô ấy đã nhận lại được tiền và nhấn mạnh rằng khiếu nại của cô ấy không chống lại ứng dụng hoặc chính phủ của Bukele, chỉ là cô ấy muốn nâng cao nhận thức về vấn đề này.

Gutierrez vẫn chưa hoàn lại số tiền của mình. “Tôi đã cố gắng liên hệ với bộ phận dịch vụ khách hàng, và họ không cho tôi câu trả lời, cũng như không có tổ chức nào rõ ràng về quy trình phải tuân theo trong trường hợp này,” cô nói.

Esquivel cho biết anh ta không quan tâm đến ưu đãi 30 đô la hay ứng dụng của chính phủ.

“Nếu tôi sử dụng bitcoin, nó sẽ được sử dụng với một chiếc ví mà tôi có quyền lưu giữ tiền của mình,” anh nói.

0 bình luận

Có thể bạn cũng quan tâm

Để lại bình luận