عملية ابتزاز فاشلة: تفاصيل مفاوضات بينانس Binance مع الشخص الذي سرب بيانات معرفة العميل

النشر: 6 سبتمبر 2019 التعديل: 14 سبتمبر 2021

فيما يبدو كلعبة معقدة يخترق فيها المخترقون حسابات بعضهم البعض، فقد قام شخص يسمي نفسه “ناتوف بلاتون” بتزويد كوين ديسك بمعلومات مفصلة عن محاولاته للحصول على ملايين الدولارات في مقابل رفض تسريب معلومات تخص مستخدمي أحد أكبر منصات تداول العملات المشفرة في العالم، بينانس.

وجرى تداول المعلومات عن ذلك الاختراق، وعن المحادثات التي استمرت لشهر مع المتسلل، بعدما بدأ بلاتون بنشر صور زعم أنها تحتوي بيانات لمستخدمي بينانس، والتي بدأ بنشرها على موقع مفتوح ثم نشرها بعد ذلك على تطبيق تليغرام Telegram.

وكانت فكرة تسريب بيانات المستخدمين لأكبر منصة تداول عملات مشفرة في العالم كفيلة بجذب انتباه أكبر مواقع أخبار العملات المشفرة ومؤثري تويتر، والذين سارعوا بنشر تلك الأخبار.

إلا أن القصة الكاملة كانت، ولا زالت، أعقد مما تبدو عليه.

بداية، للقصة جذور متشعبة وعميقة، وتمتد إلى واقعة شهر مايو/أيار عندما قامت مجموعة خارجية باختراق حسابات مستخدمي بينانس وسرقت 7000 عملة بتكوين. في ذلك الوقت، كانت بينانس، كعادتها، تتعامل بشفافية مع مشاكلها الداخلية ووصفت الاختراق بأنه “خرق أمني واسع النطاق”، ونجح المتسللون في “الحصول على عدد كبير من مفاتيح الواجهة البرمجية للتطبيقات، وأكواد التحقق ثنائي العوامل، وربما معلومات أخرى”.

ما لم يُذكر في ذلك الوقت، هو تسريب بعض البيانات التي يمكن بواسطتها الكشف عن هوية المستخدمين.

ويزعم بلاتون أنه في خلال ذلك الوقت تم تسريب المعلومات الخاصة بالمستخدمين، إلا أن الجزء المثير للاهتمام، هو زعم بلاتون أنه لم يشترك في الاختراق، وإنما نجح في اختراق حساب أحد موظفي المنصة الضالعين في الهجوم.

وفي منعطف مفاجئ آخر، زعمت بينانس أن البيانات الخاصة بالمستخدمين جاءت عن طريق طرف ثالث، وهي شركة تعاقدت معها بينانس لتنفيذ إجراءات معرفة العميل منذ شهر فبراير/شباط من عام 2018.

بالإضافة إلى ذلك، فقد أكدت كوين ديسك أن ما يقرب من 200 ملف شخصي تم تسريبها تنتمي بالفعل لمستخدمين حقيقيين لبينانس، زودوا الشركة بمعلومات شخصية. وحلل موقع كوين ديسك إحدى الصور، والتي يبدو أنه تم التلاعب بها إلا أن الشخص الظاهر في الصورة قد أكد على أنه أنشأ حساباً على بينانس بالتزامن مع التسريبات.

وفي محادثاته مع كوين ديسك، زعم بلاتون أنه متسلل خيّر، وفي بعض تعليقات أخرى، ألمح إلى أنهم طلبوا من بينانس مكافأة في مقابل الكشف عن الثغرة المتسببة في تسريب المعلومات. إلا أن المفاوضات بين الطرفين تعطلت، وقال ممثلي كل من بينانس وبلاتون إن الأخير قد طلب 300 عملة بتكوين مقابل مشاركة البيانات التي بحوزته.

وفي بيان لبينانس، رداً على حالة الخوف في السوق التي تسببت فيها الأنباء: “نرغب في إعلامكم أن شخصاً مجهولاً هددنا وضايقنا، وطالب بثلاثمائة عملة بتكوين مقابل ألا يسرب 10,000 صورة تشبه بيانات معرفة العميل الخاصة ببينانس. ما زالت القضية قيد التحقيق للتأكد من مصداقيته”.

وزعم بلاتون أن لديهم 60,000 قطعة من بيانات بمعرفة العميل.

المذكور لاحقاً في المقالة هو ما يعرفه موقع كوين ديسك عن المفاوضات وما تلاها.

تحريك الأموال

بدأ تعامل كوين ديسك مع بلاتون في شهر يوليو/تموز، عندما بدأ موقع كوين ديسك في كتابة تقارير عن نقل عملات البتكوين التي سُرِقت في مايو/أيار وقت اختراق منصة بينانس.

وردت بينانس على الاختراق في ذلك الوقت، قائلة إن الفاعلين الأشرار حصلوا على الواجهات البرمجية للتطبيقات الخاصة بالمستخدمين، وأكواد التحقق ثنائي العوامل، ومن المحتمل أن يكونوا قد حصلوا على معلومات أخرى.

وجاءت رواية بلاتون للأحداث بشكل مختلف. إذ زعم أن أحد موظفي المنظمة ساعد في أن تخرج بعض الواجهات البرمجية للتطبيقات للعامة مما سمح للمتسللين بالوصول بشكل مباشر إلى حسابات المستخدمين. وخزن المتسللون قوائم بمفاتيح الواجهات البرمجية للتطبيقات الخاصة بالمستخدمين، وهي الأكواد التي يستعملها مستخدمي المنصة للولوج إلى حساباتهم عند بعد، في ملفات نصية ادعى بلاتون أنه نجح في الحصول عليها. وسمح ذلك للمتسللين بالوصول للأرصدة عن بعد.

كما احتوت الملفات أيضاً على معلومات “خطيرة للغاية” مثل عناوين البريد الإلكتروني الخاصة بالمستخدمين وكلمات السر الخاصة بالحسابات، بحسب تصريحات بلاتون. وأنشأ المستخدمون الذين تسربت بياناتهم حساباتهم على بينانس في الفترة بين عامي 2018 و2019.

وباستعمال تلك البيانات الشخصية، أرسل المتسللون كوداً هجومياً سمح لهم بسحب 0.002 عملة بتكوين (حوالي 23 دولار أميركي) كل مرة. ونفذ هذا الكود طلب شراء لتوكن مجهول يدعى BlockMason Credit Protocol وتحويله إلى بتكوين. ويمكن للكود، الذي قامت كوين ديسك بفحصه، أن يؤدي عدداً آخر من المهام بتوجيه اتصالات للواجهة البرمجية للتطبيقات لم تعد مفتوحة أو علنية. وعندما قام موقع كوين ديسك بتوجيه اتصال للواجهة البرمجية، وهو طلب بسيط من الخادم، ظلت الواجهة مفتوحة. ومن غير الواضح إذا ما كانت النهايات الطرفية للواجهة البرمجية للتطبيقات قد أزيلت أو أنها مخفية.

وزعم بلاتون أن العملات المسروقة كانت مخبأة في محفظة يستضيفها موقع برامج المحافظ بلوكتشين Blockchain، وهو الموقع الذي أطلق مؤخراً منصة التداول بيت PIT.

وبتقفي أثر تلك المحفظة، كشف بلاتون عن أن المتسللين غسلوا ما يصل إلى 2000 عملة بتكوين عن طريق منصة تداول بتميكس Bitmex، ويوبيت Yobit، وكوكوين KuCoin وهوبي Huobi ونجحوا في تحويل ما يقرب من مليون دولار أميركي من البتكوين يومياً.

طريقة التنفيذ

ومن بين الحسابات البالغ عددها 60 ألف حساب والتي يزعم بلاتون أنه تم اختراقها، فقد شارك بلاتون 636 ملفاً مع موقع كوين ديسك. ويأمل بلاتون أن يجبر الاهتمام الإعلامي بينانس على الكشف عن المدى الحقيقي للاختراق، وأن تقدم المتسللين للمحاكمة.

ومن جانبها، أعلنت بينانس أن عملات البتكوين المسروقة تم الاستيلاء عليها من حسابات الشركة ولم تؤثر على المستخدمين. في ذلك الوقت، علقت الشركة الإيداعات وعمليات السحب لحماية المستخدمين. ومع ذلك، فإن مدى تسريب بيانات المستخدمين بقي طي الكتمان.

فبالإضافة لصور جوازات السفر، وصور رخص القيادة، وصور للمستخدمين وهم ممسكين ببطاقات هوياتهم، فإن بلاتون قد أعطى كوين ديسك بضعة أمثلة لما وراء البيانات المرتبطة بالصور.

فعلى سبيل المثال، فهذا الكود يفيد بأن هذا المستخدم خضع لإجراءات معرفة العميل في العشرين من مارس/آذار من عام 2018:

<!-- wp:paragraph -->
<p>"id": 1573211,</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"userId": "25276308",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"front": "/IDS_IMG20180320/25276308_0_9416819.jpg",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"back": "/IDS_IMG20180320/25276308_1_7376587.jpg",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"hand": "/IDS_IMG20180320/25276308_2_4413070.jpg",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"auditor": "chenxiaozi",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"message": "",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"status": 1,</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"createTime": "2018-03-20 08:12:33",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"updateTime": "2018-03-21 01:48:33",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"number": "s532557730580",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"firstName": "m[REDACTED]",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"lastName": "[REDACTED]",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"type": 2,</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"sex": 1,</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"country": "United States of America (USA)（美国）",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"email": "[REDACTED]@outlook.com",</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>"version": 1</p>
<!-- /wp:paragraph -->

وأجريت بروتوكولات معرفة العميل تلك في الصين بحسبما يقترح اسم المراقب بالإضافة إلى الحروف الصينية في نهاية كود الدولة. ومن غير الواضح ما الذي تمثله الخانات الأخرى.

بالإضافة لذلك، فقد أرسل بلاتون إلى كوين ديسك كوداً وصفه بأنه يساعد في الوصول إلى ثغرة في خوادم بينانس، وأن هذه الثغرة وضعها أحد موظفي المنصة. وأشار تحليل هذا الكود إلى صحة مزاعم بلاتون.

وقال فيكتور شاباك، رئيس قسم التكنولوجيا في شركة تطوير البلوكتشين فيزيبل ماجيك VisibleMagic: “من المحتمل للغاية أن يكون ذلك هجوماً على مفاتيح الواجهة البرمجية للتطبيق. لقد حصلوا على مفاتيح الواجهة البرمجية للتطبيق من مكان آخر”.

وتستخدم مفاتيح الواجهة البرمجية للتطبيقات في التيقن من الخدمات بين منصات التداول والتطبيقات الأخرى كما يمكن أن تسمح للمتسللين بفعل أي شئ، بدءاً من شراء العملات المشفرة بالنيابة عن الضحية، نهاية بنقل تلك العملات المشفرة إلى محفظة خارجية.

وقال شاباك إن الكود بالذات يقترح وجود باب خلفي في منصة بينانس، ولم يتمكن كوين ديسك من التأكد بشكل مستقل من أن الوصول إلى البيانات حدث عن طريق ذلك الباب الخلفي ومفتاح الواجهة البرمجية المرتبط به.

وقال شاباك: “على الأغلب، قام أحد موظفي الشركة من الداخل بإنشاء أداة تواصل مع الواجهة البرمجية من أجل الوصول إلى مفاتيح الواجهة البرمجية للتطبيق ثم قام بجمع تلك المفاتيح ووصل إلى بيانات المستخدمين وكان بحوزته أدوات تمكنه من فعل ذلك”.

ومع ذلك، وبمواجهة أحد مسئولي بينانس بتلك المعلومات في ذلك الوقت، فإن ممثل عن بينانس قال: “بحسب آخر المعلومات الواردة من فريقنا، فلا يوجد ما يدل على أن صور معرفة العميل تلك جاءت من بينانس، كما أنها ليست موسومة بالعلامة المائية الخاصة بعمليات نظامنا”.

دوافع بلاتون

وفي معرض حديثه مع كوين ديسك، حاول بلاتون التواصل مع مدير سياسات النمو في بينانس، تيد لين، في إطار مجهوداته على عدة جبهات من أجل تقديم المتسللين للعدالة (بحسب مزاعمه).

وقال بلاتون: “أردت شخصياً أن أجعل من بينانس أول منصة تنجح في القبض على المتسللين. سيكون ذلك مفيداً للغاية لسمعة بينانس. أبلغت لين أن لدي معلومات تخص الموظف مثل تفاصيله الخاصة، واتصالات داخلية مع أشخاص من خارج المؤسسة، ولدي صورة هذا الموظف. وأبلغته أن لدي معلومات تخص المتسللين، ومعلومات عن الخوادم وهوياتهم، وأرقام هواتفهم، إلخ..”

وبحسب رسائل لين إلى بلاتون، والتي شاركها الأخير مع كوين ديسك، فقد أبدى مدير النمو ترحيبه بدفع مقابل مالي من أجل المساعدة في الكشف والقبض على المتسللين والموظفين الذين ساعدوهم، واستعادة الأرصدة المسروقة.

ومع ذلك، وفي نفس الرسالة، فقد رفض لين “حملة التخويف” التي يجريها بلاتون.

وقال لين: “كما قلت سابقاً، لا أستجيب للابتزاز”. وفي محادثة سابقة مع موقع كوين ديسك، زعم بلاتون أنه ثري بالفعل، وأنه مشغل لمنصة تداول عملات مشفرة يبلغ حجمها ثلث حجم منصة بينانس.

كما قال إنه ليس مهتماً بالتعويض المالي. وقال: “إذا أردت المال، فباستطاعتي أن أخترق حساب أحد المتسللين. يمكنني استعادة أكثر من 600 إلى 700 عملة بتكوين باختراقي لمحفظة المتسلل. إلا أنني لم ألمس سنتاً واحداً من تلك الأموال، وشاهدت المزيد والمزيد من تلك الأموال يتم غسيلها ونقلها لكي يختفي أثرها”. زاعماً أنه لم يخبر المتسللين أنه يقتفي أثرهم.

انهيار المحادثات

وبرغم الأهداف النبيلة لبلاتون، فقد علمت كوين ديسك فيما بعد عن طريق بلاتون وعن طريق مسئولي بينانس أن المتسلل الخيّر، بحسب زعمه، قد طلب 300 عملة بتكوين، أو ما يقدر بثلاثة ملايين دولار أميركي، بأسعار تداول شهر يوليو/تموز، على 50 دفعة، لقاء المعلومات التي بحوزته.

إلا أن المفاوضات قد انهارت في النهاية. ففي الثاني والعشرين من يوليو/تموز، بعد خمسة أيام فقط من تواصل بلاتون مع كوين ديسك، قال بلاتون إنه قد أوقف مفاوضاته مع بينانس.

وقال بلاتون: “بعد حوالي شهر من المفاوضات، لم يدفعوا سنتاً واحداً. تعطل اتفاقي مع بينانس”.

عند تلك النقطة، انحدرت مفاوضات بلاتون مع بينانس لتصبح أشبه بمفاوضات الرهائن، مع تهديد بلاتون بتسريب كل بيانات العملاء التي بحوزته.

وأكد بلاتون كوين ديسك بالمحادثة التالية مع تيد لين والتي من المفترض أن المفاوضات قد انهارت بعدها:

تيد لين: أرى أنك قد أبلغت وسائل الإعلام بالمعلومات التي بحوزتك. بالنظر إلى الضرر الذي أحدثته حملة التخويف خاصتك، فإن المكافأة التي كنت تطالب بها لقاء المعلومات ستقل بشكل كبير. كما قلت سابقاً، نحن لا نستجيب للابتزاز. إلا أننا مستعدون للحصول على المزيد من المعلومات عن المعتدين إذا كان لديك معلومات مفيدة تمكننا من القبض على الأشخاص الأشرار ووضعهم وراء القضبان.

بلاتون: كما قلت سابقاً، لا حاجة بي إلى أموالك. لن أعقد أي اتفاقات معكم. كما أنني لا أنتظر منك رداً. إلا أنني سأحب أن أرى رد الفعل هذا الموظف وهؤلاء المتسللين عندما تنشر هذه الأنباء. كما أخبرتك سابقاً، لست مهتماً بردة فعلك.

تيد لين: ظننت أنك ترغب في أن يُلقى القبض على هؤلاء المتسللين.

بلاتون: أردت ذلك، لم أعد أرغب بذلك حالياً. أَفضل الآن أن أنسحب وأشاهد ماذا سيحدث.

تيد لين: نحن لازلنا مهتمين بالدفع مقابل المعلومات التي قد تساعدنا في القبض على المتسللين والموظفين المشاركين، واستعادة الأموال. أخبرنا إذا كان لديك معلومات يمكنها أن تساعدنا في هذا الصدد. كنا بصدد التيقن من المعلومات التي بحوزتك قبل أن تقرر ألا تتكلم معنا. أعلمني إن غيرت رأيك ورغبت بالمواصلة. شكراً لمساعدتك.

بلاتون: إذن ادفعوا لي.

وقال بلاتون: “أخطأت عندما قررت التفاوض مع بينانس. ليسوا الأشخاص الصحيحين. لذا، سأنشر كافة البيانات التي بحوزتي لعملائهم”.

وبالفعل، وبالحديث مع أحد ممثلي بينانس في الثاني والعشرين من يوليو/تموز، أخبرنا أن بلاتون قال: “في الوقت الحالي، فأنا مهتم بمعرفة ردة فعل هؤلاء المتسللين والموظف العميل داخل شركتكم، عندما تنشر تلك الأنباء”.

وفي الخامس من أغسطس/آب، تحولت تهديدات بلاتون إلى حقيقة، عندما قام برفع المستندات التي تحتوي على 500 صورة تخص إجراءات معرفة العميل لـ 166 شخصاً لموقع مفتوح لمشاركة الملفات، تحت الاسم المستعار غارديان إم Guardian M.

وأتبع ذلك برفعه لدفعة ثانية من الملفات والتي تحوي مئات الصور لأفراد يمسكون ببطاقات هويتهم الشخصية، على مجموعة على تطبيق تليغرام.

وفسر بلاتون ما يفعله بشكل بسيط: يظن أن ما يفعله هو الأمر الصحيح.

وقال بلاتون: “يسألني الناس مراراً: لماذا تسرب صور معرفة العميل تلك؟ كيف حصلت عليها؟ السبب وراء تسريبي لتلك البيانات بسيط: لتحذير الناس من التعامل مع بينانس. إذا كان ما أريد هو المال، لقمت ببيع تلك البيانات في الأسواق السوداء”.

إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.

تحريك الأموال

طريقة التنفيذ

دوافع بلاتون

انهيار المحادثات

مواضيع قد تهمك

بورصة بينانس تشدد الإجراءات، الكشف عن استراتيجية جديدة لاستبعاد المتداولين الأمريكيين

بورصة بينانس تتخذ إجراءات قانونية ضد السلطات النيجيرية

بورصة OKX تخرج من الهند وتحث العملاء على سحب الأموال قبل نهاية أبريل 2024

مؤسس منصة بينانس يطلق مشروعاً جديداً رغم المشاكل القانونية