• Etwa 0,5 % der 1 Million Kunden von Fractal ID sind von einem Datenleck betroffen.
  • Gnosis Pay und andere Web3-Unternehmen sind durch den Vorfall gefährdet.

Am Sonntag, dem 14. Juli 2024, wurde bekannt, dass etwa 0,5 % der 1 Million Kunden des dezentralisierten Identitäts-Startups Fractal ID von einem Datenleck betroffen sind. Fractal ID, ein Berliner Unternehmen, das seit 2017 KYC- und AML-Dienste anbietet, verwaltet persönlich identifizierbare Informationen (PII) wie Namen, Wohnsitznachweise und Ausweisdokumente. Zu den betroffenen Protokollen gehört auch Gnosis Pay, wie eine E-Mail an die Nutzer bestätigt.

Sicherheitsvorfall bei Fractal ID

Am 17. Juli 2024 informierte Gnosis Pay seine Nutzer über den Sicherheitsvorfall bei Fractal ID, dem KYC-Dienstleister, den es seit mindestens 2019 nutzt. In einer E-Mail, die dem Magazin The Block vorliegt, erklärte das Team von Gnosis Pay: „Am Montag, dem 15. Juli 2024, um 19:30 Uhr MEZ, machte unser KYC-Dienstleister Fractal ID das Gnosis Pay-Team darauf aufmerksam, dass es am Sonntag, dem 14. Juli 2024, einen Datenbruch erlitten hatte.“

Julian Leitloff, Mitbegründer von Fractal, bestätigte den Vorfall und erklärte, dass ein einzelnes Betreiberkonto kompromittiert wurde. „Ein einzelnes Betreiberkonto wurde gehackt und infolgedessen bemerkten wir am Sonntagmorgen verdächtige Aktivitäten. Wir haben den Zugriff sofort gestoppt und konnten die Ursache identifizieren, die später mit externer Unterstützung verifiziert wurde,“ sagte Leitloff.

Fractal ID speichert sensible Benutzerdaten, darunter Namen, Wohnadresse, E-Mail-Adressen und Dokumente wie Pässe und Führerscheine. Leitloff zufolge sind etwa 0,5 % der Nutzer betroffen.

Fractal ID bietet Compliance-Unterstützung für mindestens acht Krypto-Protokolle, darunter Polygon, Ripple und Near, und hat über 250 Unternehmen als Kunden.

Reaktionen und Maßnahmen

In einer E-Mail von Fractal ID, die auf der Plattform X (ehemals Twitter) veröffentlicht wurde, wird erklärt, dass ein Angreifer Zugang zu einem Fractal ID-Betreiberkonto erlangt hatte, wodurch er ein API-Skript ausführen konnte, um Benutzerdaten abzurufen. Fractal ID stoppte den Angriff innerhalb von etwas mehr als zwei Stunden.

Leitloff erklärte, dass es unklar sei, wie der Angreifer Zugang zu dem Betreiberkonto erlangte, vermutet aber, dass ein „abgesaugtes Passwort aus anderen Hacks“ die Ursache sein könnte. Trotz der dezentralen Identitätslösung speichert Fractal ID die Daten zentral, da dies den regulatorischen Anforderungen entspricht.

Fractal ID ist auf Polkadot aufgebaut und einer der Hauptentwickler des Open-Source-Digital-ID-Betriebssystems idOS, das es Benutzern ermöglicht, ihre Identität im gesamten Web zu verwalten. Das Unternehmen hat Unterstützung von German Accelerator Southeast Asia erhalten und laut PitchBook fast 8 Millionen Dollar eingeworben.

Bisher hat Fractal ID den Vorfall weder in den sozialen Medien noch auf seinem Blog oder seiner Website öffentlich gemacht. Laut Leitloff betrifft der Angriff jedoch nur einen Bruchteil der Nutzerbasis von Fractal ID.