Egy ismeretlen Blockchain.com alkalmazott nyúlhatta le az ügyfelek pénzét

Egyre több sajnos a kriptovalutával kapcsolatos átverés, amikor celebek nevét, fotóját felhasználva próbálnak a csalók az áldozatokból pénzt kicsikarni. Előfordul azonban, amikor ismert szolgáltatókról derül ki, hogy nem egészen olyan minőségi szolgáltatást kínálnak, mint amit ígértek, vagy rosszabb esetben, még a felhasználók pénzével sem tudnak elszámolni. A következő történetet egy külföldi hírportál egyik szerzője osztotta meg. Habár sok scam terjedt el az utóbbi időben a Blockchain.com nevével, a szerző a Blockchain.com eredeti platformján szerzett marandandó “élményeket”.

Belépés nem engedélyezett

“Tavaly egy balszerencsés napon beszerettem volna lépni a Blockchain.com mobiltárcámba, csakhogy a rendszer nem engedett belépni. Mivel ez gyakran megesik a mobilalkalmazásokon, PC-n próbáltam meg ugyanazt. Természetesen a 2FA-t (kétlépcsős hitelesítést) akartam használni, amelyet az e-mail címemre küldenek, de érdekes módon ilyen e-mailt én nem kaptam. Többször próbáltam belépni, sokáig vártam, de e-mailek valahogy soha nem érkeztek. Mivel nem tudtam bejelentkezni a fiókomba, úgy döntöttem, hogy kapcsolatba lépek a Blockchain.com ügyfélszolgálatával.

Mivel a Blockchain.com elég silány ügyfélszolgálattal rendelkezik, nagyjából 2 hétbe telt, mire kaptam a választ, majd még egy hét kellett ahhoz, hogy egyáltalán megértsék, mi a problémám. Állításuk szerint valaki megváltoztatta a kétlépcsős azonosításhoz szükséges e-mailemet. Ez csak két módon lehetséges: vagy a fiókba történő bejelentkezéssel, majd ott az e-mail cím módosításával, vagy pedig egy űrlap kitöltésével.

Nyilvánvaló, hogy az első opcióhoz először be kell jelentkezned, és ehhez módosítanod kell az e-mailt. A második lehetőség esetén azonban nem kell a kétlépcsős hitelesítés, csak ismerni kell a tárca azonosítóját és az e-mail címet. A Wallet ID 36 karakterből álló hosszú kód. Lehetetlen, hogy valaki kitalálja. De a Blockchain.com munkatársai hozzáférhetnek ehhez az azonosítóhoz, illetve láthatják azt is a rendszerben, hogy melyik e-mail cím mely tárca azonosítóhoz van társítva.

Így a Blockchain.com valamelyik munkatársa a felhasználó tudta nélkül megkeresheti ezeket az információkat és megváltoztathatja a kettős hitelesítést is. Állítólag a rendszer értesítést küld az eredeti e-mailre a kétlépcsős azonosítás jogellenes módosításának megakadályozása érdekében, de én soha nem kaptam meg ezt az e-mailt sem. Lehet, hogy hiba történt a Blockchain.com levelező rendszerében, vagy valószínűbb, hogy valaki szándékosan tiltotta le az e-mail értesítéseket.

A Blockchain.com ügyfélszolgálata azt javasolta, hogy változtassam vissza a kétlépcsős hitelesítést az eredeti e-mailemre, és biztosított nekem egy e-mail fiókot, amelyet az új 2FA-hoz állítottak be. Ekkor beléptem és rájöttem, hogy a pénzem ellopták. Visszakerestem a korábbi tranzakciókat a Blockchain.com tárcában, hogy megnézzem, hova tüntették a pénzem. Az összes átutalásra került egy ismeretlen tárcába pontosan egy nappal azelőtt, hogy a problémával szembesültem volna a bejelentkezéskor.

Amikor a Blockchain.com ügyfélszolgálatának jelentettem a lopást, már nem válaszoltak többet az üzeneteimre. Több e-mailt küldtem különböző e-mail címekre, válasz természetesen sehonnan nem jött. Felvettem a kapcsolatot a Blockchain.com alapítójával, Peter Smith-szel is a Telegram-on, de ő is figyelmen kívül hagyott. Egyértelmű volt, hogy a Blockchain.com nem akarta kivizsgálni a jogsértést.

Elkezdtem keresgélni az interneten, és rájöttem, hogy több hasonló eset is történt. Mindenhol ugyanaz volt a séma: kétlépcsős azonosítás misztikusan letiltva, a pénz pedig eltűnt. Tizenegy hasonló esetet találtam csak a TrustPilot-on és a Reddit-en. Kicsit túl sok, hogy véletlennek nevezzük, vagy hibáztassuk a felhasználókat. Valószínűleg ez csak a jéghegy csúcsa, mivel nem mindenki fog nyilvánosan véleményt írni arról, hogy kirabolták vagy átverték. Ha összesítjük a tárcákról ellopott pénzt, akkor több százezer amerikai dollárról beszélünk.”

Mi történt valójában?

Alapvetően nem hallottunk tömeges panasztételt a Blockchain.com tárcákkal kapcsolatban. Ha bármilyen online felület ellen például kibertámadást hajtanak végre és a tárcákat feltörik, az összes kriptohírportál attól hangos. Ebben az esetben ilyen nem történt. Kijelenthetjük, hogy a feltörés csak kevés fiókot érinthet. Emellett érdemes tisztázni azt is, hogy a Blockchain.com tárcák elég biztonságosak, szinte lehetetlen, hogy egy kívülről érkező támadást a Blockchain.com ne venne észre.

Azt sem szabad elfelejteni, hogy a Blockchain.com-nak már neve van a kriptoökoszisztémában. Kizárt, hogy 10-20 tárca feltöréséből szerzett pár százezer dollárért kockáztatná a jó hírnevét. Akkor mégis mi történt?

Egyetlen elfogadható magyarázat létezik: a Blockchain.com-nál egy kolléga, aki hozzáférhetett a felhasználók információihoz, úgy gondolhatta, hogy jövedelem kiegészítésként magához veszi néhány felhasználó pénzét. Feltételezhetően az alkalmazott megkereste a tárca azonosítókat és a hozzájuk tartozó e-mail címeket a Blockchain.com rendszerében. Egyszerűen kérte a 2FA módosítását egy nyilvánosan elérhető űrlapon, majd letiltotta az e-mailes értesítéseket a kétlépcsős azonosítás módosításával összefüggésben.

Miután megváltoztatta az azonosításhoz szükséges e-mailt, egyszerűen belépett a kiszemelt fiókokba és átutalta a pénzt a saját tárcájába.

Mivel az áldozatok értesítették a Blockchain.com ügyfélszolgálatát, a Blockchain.com valószínűleg tudatában van a jogsértésnek. Azt nem tudni, hogy léptek-e valamit az ügyben, tettek-e bármiféle intézkedést az ilyen események megakadályozására, vagy egyáltalán megtalálták-e az elkövetőt. Nyilvános vizsgálatot még nem folytattak le, ez egészen biztos. Ha cégen belül megtalálták a csaló munkavállalót, értesíteniük kellett volna a bűnüldöző szerveket az esetről és megpróbálni megtéríteni az áldozatoknak okozott kárt. Ilyen azonban nem történt. Helyette csendben lapítanak, hiszen ettől a botránytól folt esne a cég becsületén.

További érdekes cikkeink:

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük