Le perdite di dati personali nelle cripto sono inevitabili, ecco cosa si può fare
Le migliori criptovalute e le loro blockchain, come Bitcoin (BTC) o Ethereum (ETH) sono per lo più robuste contro potenziali attacchi, ma il più ampio ecosistema crittografico dipende da gran parte dell’infrastruttura web che definisce i sistemi legacy.
Questo punto è emerso dal Ledger database leak di luglio, in cui il database dell’ e-commerce del produttore del wallet è stato violato per un milione di e-mail dei clienti e altro ancora.
Tuttavia, gli esperti di sicurezza che hanno parlato con Cryptonews.com hanno affermato che molto può essere fatto dal settore e dalle persone per ridurre la portata delle violazioni. Hanno anche affermato che gli attacchi più probabili, come la violazione di Ledger, sono quelli che hanno meno probabilità di rubare informazioni sulla chiave privata o sul portafoglio, che è ciò di cui i criminali avrebbero bisogno per rubare le tue criptovalute.
Dati personali e chiavi private
Esistono due tipi principali di potenziali perdite o attacchi in crittografia, come spiegato a Cryptonews.com dall’esperto in recupero wallet Dave Bitcoin.
"C’è una differenza significativa tra la fuga di dati personali (indirizzo e-mail, nome, data di nascita, ecc.) e la fuga di chiavi private", ha detto.
"Se una società di crittografia perde solo i dati personali, allora non è peggio di qualsiasi perdita nello spazio non crittografico – non va bene, ma è improbabile che porti a una perdita dei fondi in criptovalute."
Al contrario, Dave Bitcoin ha anche avvertito che se una società perdesse chiavi private o frasi di ripristino, i fondi crittografici potrebbero essere rubati con uno sforzo minimo. "Anche se le informazioni sulla chiave sono crittografate con passphrase impostate dal cliente, è molto probabile che alcune passphrase vengano indovinate, perché sono deboli, negli elenchi di password esistenti o derivabili da altre informazioni private del cliente."
Un esempio di quest’ultimo tipo di violazione più grave è fornito dalflaw che ha colpito i wallet desktop di Coinomi scoperto nel 2019, ad esempio. È anche evidente in una varietà di estensioni del browser furtive e malware, che può accedere alla chiave privata di un utente quando viene utilizzato un portafoglio hardware.
Dave Bitcoin ha anche avvertito di una terza categoria intermedia.
"Si tratta di perdite che rivelano l’identità dei proprietari degli indirizzi", ha detto.
"Ad esempio, se una società ha fatto trapelare un elenco di clienti e indirizzi blockchain a cui il cliente ha inviato criptovaluta (ad esempio per scambiare beni o servizi), il registro delle transazioni pubbliche può essere utilizzato per rintracciare altre transazioni da parte del stesso cliente. "
Come ha aggiunto, questo tipo di violazione espone potenzialmente le partecipazioni e gli affari di un cliente e può aumentare il rischio che vengano presi di mira.
Cosa si può fare
Lo sviluppatore Daniel Ternyak ha affermato che ci sono molte cose che le persone possono fare per ridurre la loro esposizione alle perdite.
"Gli investitori in criptovaluta dovrebbero fare ogni tentativo possibile per mantenere una forte OPSEC [sicurezza operativa]", ha detto a Cryptonews.com .
"Sebbene sia difficile rimanere costantemente vigili, gli investitori dovrebbero esaminare ogni istanza quando chiedono di fornire informazioni di identificazione personale che possono essere legate alla loro proprietà di risorse crittografiche."
Come sicurezza operativa , Ternyak ha consigliato alle persone di considerare la propria sicurezza dal punto di vista di un potenziale hacker. In questo modo, possono individuare più facilmente i punti deboli e le vulnerabilità nel modo in cui gestiscono la crittografia.
"Anche quando gli utenti utilizzano un portafoglio hardware, l’attacco "$5 wrench" è ancora efficace per ottenere l’accesso ai fondi", ha aggiunto, indicando che gli utenti devono anche considerare la propria sicurezza fisica ed esposizione.
Dave Bitcoin ha suggerito che la più grande decisione di sicurezza per i singoli utenti riguarda la scelta del proprio portafoglio crittografico.
"I singoli utenti dovrebbero considerare se un portafoglio di custodia o non di custodia sia giusto per loro e valutare attentamente qualsiasi fornitore di portafoglio non di custodia per le pratiche di sicurezza", ha affermato. "Il che è certamente difficile da fare a meno che la società non fornisca un controllo di sicurezza indipendente a sostegno delle loro affermazioni."
Per quanto riguarda le aziende, Marek "Slush" Palatinus, CEO di SatoshiLabs , il produttore del wallet hardware Trezor, ha consigliato alle aziende di conservare solo le informazioni personali assolutamente necessarie e nel modo più limitato possibile. La società afferma di eliminare gli ordini dopo 90 giorni dal database dell’e-shop.
“La responsabilità di ogni azienda dovrebbe essere quella di limitare l’impatto di tali violazioni dei dati sui propri clienti; idealmente, la quantità di dati raccolti dovrebbe essere la più piccola possibile, conservata per un periodo di tempo il più breve possibile ", ha detto il CEO a Cryptonews.com .
Palatinus sostiene anche una maggiore privacy, in modo che i consumatori possano fare scelte più informate.
"Il settore dovrebbe prendere sul serio la privacy dei clienti e informarli apertamente sul tipo di dati raccolti e su come vengono trattati in seguito", ha suggerito. "Troppo spesso c’è una fuga di dati che avrebbe potuto essere prevenuta semplicemente prendendone più cura."
Inevitabilità
Tali passaggi possono ridurre la frequenza delle violazioni dei dati. Ma dato che la maggior parte delle violazioni dei dati colpisce sistemi non basati su crittografia (come il database di e-commerce di Ledger), è probabile che rimangano inevitabili in una certa misura.
Dave Bitcoin ha dichiarato: "Le strategie di sicurezza continuano ad evolversi – un esempio è il requisito di crittografare tutti i dati in transito e inattivi (ad esempio in un database o in un archivio di file). Ma c’è sempre un mezzo per decrittografare i dati, quindi questi schemi possono essere interrotti se le chiavi sono esposte e gli archivi dati accedono. "
Dave ha previsto che le aziende alla fine smetteranno di memorizzare i dati personali a tempo indeterminato, il che limiterà il più possibile le violazioni dei dati. Ovviamente, i possessori di criptovalute dovranno sempre prendere la propria sicurezza personale il più seriamente possibile.
___
Ulteriori informazioni:
Seed Phrase and Wallet Recovery Still Isn’t Idiot-Proof
How Good Are Bitcoin Recovery Services?
Researchers Find Bugs that Could Expose Crypto Wallets on Exchanges
US Banks Offering Crypto Custody is ‘Insanely’ Bullish and Risky
