Groot datalek bij bitcoin leenplatform YouHodler blootgelegd

vpnMentor heeft achterhaald dat klantgegevens bij YouHodler niet veilig zijn. Zo heeft het onderzoeksbureau duizenden ontvangstadressen en bijbehorende klantgegevens ontdekt en aan elkaar kunnen koppelen.

Meer dan 86 miljoen records gevonden

Datawetenschappers Noam Rotem en Ran Locar ontdekten samen met vpnMentor een groot datalek bij YouHodler, er zijn meer dan met 86 miljoen record blootgelegd. Al deze gegevens worden beheerd door YouHodler.

Voordat we verder gaan over het lek, eerst iets over YouHodler. Bij dit platform kan je je cryptocurrency uitlenen. Deze worden dan meteen omgezet in Amerikaanse dollars of uhh Europese euro’s. Naast Bitcoin ondersteunt het uitleenplatform BCH, ETH, LTC, XLM, XRP, DASH en nog een paar andere tokens. Het is enigszins te vergelijken met een pandjeszaak. Je levert iets van waarde in, krijgt geld, en je kan dat later tegen commissie weer terugkopen.

Financiële privacy ligt op straat

Het onderzoeksteam ontdekte dat ze door het datalek veel privacy gevoelige informatie konden inzien. Denk hierbij aan de volledige namen, e-mailadressen, adressen, telefoonnummers, verjaardagen, creditcardnummers, CVV-nummers, alle bankgegevens en ontvangstadressen.

Wat de implicaties zijn, en hoe ernstig YouHodler hier gefaald heeft wordt nog onderzocht. Het leenplatform heeft bijvoorbeeld CVV-nummers (creditcardverificatie) van creditcards gelabeld als “identiteit”. En deze CVV-nummers waren niet eens volledig gecodeerd. Dat zie je hieronder:

In hun eigen woorden:

In onderstaand voorbeeld vonden we het volledige kaartnummer en de vervaldatum, opgeslagen in platte tekst. Het CCV-nummer staat hier niet bij. Maar dit laat echter zien dat we nog steeds alle details hebben gevonden die nodig zijn om volledige controle over de kaart te krijgen.

Koppelen NAW-gegevens aan wallet

Op dezelfde manier werden de volledige namen, adressen en bankgegevens van de gebruikers zoals rekeningnummer en SWIFT-code getoond. In sommige gevallen werden ook crypto-ontvangstadressen weergegeven. vpnMentor:

Het is kinderlijk eenvoudig om bovenstaande account te koppelen aan het bitcoin ontvangstadres. Vanwege blockchain is de inhoud van een wallet altijd inzichtelijk, ook al zijn ze opzettelijk anoniem. Het koppelen van een naam en adres aan een walletadres kan ernstige gevolgen hebben.

vpnMentor is niet zomaar tegen dit lek aangelopen:

Ran en Noam onderzoeken poorten om bekende IP-blokken te vinden. Zodra ze IP-blokken hebben ontdekt, zoeken ze naar gaten in het systeem die op een open database kunnen wijzen. Met behulp van hun technische expertise kunnen ze de identiteit van een lek bevestigen om de gegevens terug te traceren naar de eigenaar. Dat is onderdeel van ons webmappingproject.

Wat zou de impact kunnen zijn?

Kwaadwillenden zouden met deze informatie gericht phishingmails kunnen versturen, of direct het account van de gebruiker hacken. Daarnaast kunnen hackers de creditcardgegevens misbruiken, ze hebben immers toegang tot alle benodigde informatie. Maar het gaat nog iets verder:

“Het is altijd gevaarlijk om het volledige adres van een gebruiker te hebben, en nog meer als dit gekoppeld kan worden aan financiële informatie. Dieven kunnen meer reden hebben om zich te richten op gebruikers die veel crypto bezitten. Hiervoor kunnen ze ook bankinformatie gebruiken.

Er zijn ook gebruikers waarvan de ontvangstadressen niet zichtbaar waren, maar ook zijn kunnen doelwit worden. Denk bijvoorbeeld aan gerichte phishingmails.

Daarnaast hebben de meeste regeringen hun eigen middelen om cryptobezittingen van gebruikers na te gaan,  maar een datalek van deze orde kan nog gevaarlijkere gevolgen hebben. Sommige regeringen zoals Egypte, hebben het bezit van cryptocurrency’s expliciet verboden. We hebben klantgegevens gevonden van gebruikers uit Egypte.”

Nadat vpnMentor op 22 juli 2019 contact met YouHodler had opgenomen, heeft YouHodler het lek de volgende dag gesloten. Alle bevindingen van het lek zijn te vinden in dit uitgebreide rapport. 

Delen:

Jerrymie Marcus heeft een journalistieke achtergrond en gelooft dat crypto de wereld kan verbeteren. Dat ondervond hij jaren geleden toen hij binnen een minuut waarde verzond naar zijn Indonesische familie. Bekend van o.a. Emerce en VPRO.

Bezoek mijn Linkedin

Geen reacties

Laat een reactie achter