Кража личности, Телеграм и мошенничество с обменом токенов: если сооснователь Ethereum не может себя обезопасить, то как быть всем остальным?
Когда в сентябре 2017 г. произошла утечка данных компании Equifax, криптогуру и сооснователь компании Ethereum Джозеф Любин выступил с резкой критикой корпорации, ее неосторожного обращения с данными и монетизации пользовательской информации, еще раз повторив свой призыв к внедрению более жестких мер по обеспечению цифровой безопасности посредством децентрализованных сетей. Любин подчеркнул важность защиты учетных записей пользователей:
"...взлом за взломом, бесконечные время и ресурсы, которые правительственные структуры тратят на защиту личных данных – почему же регулирующие органы не проявляют никакого энтузиазмы по поводу Ethereum-блокчейна? Устойчивый к взломам и прозрачный протокол, способный поддерживать сервисы, в которых каждый пользователь владеет всеми аспектами своих личных данных. Хакеры останутся не у дел!" – (Есть иной путь: взлом систем Equifax и дорогая к децентрализации. (There is another way: The Equifax Hack and the Road to Decentralization))
Однако всего лишь год спустя собственные личные данные Любина и его брэнда были "угнаны" интернет-мошенниками.
13 сентября Рик Бёрнетт, Генеральный директор и основатель компании LaneAxis, получил сообщение от Любина через мессенджер Telegram, "LaneAxis: можно поподробнее?"
Бёрнетт, который в настоящий момент запускает проект LaneAxis – основанную на протоколе Ethereum виртуальную систему управления грузоперевозками, не очень представлял себе, кто такой Любин, но предложил поговорить с ним и дать ему более подробную информацию о проекте, его блокчейне и кампании по продаже токенов. После короткого телефонного разговора Любин сказал, что обдумает информацию и внимательно изучит платформу LaneAxis.
Бёрнетт, которому стало интересно, что же это за потенциальный инвестор, пошел гуглить Любина.
Сооснователь компании Ethereum. Основатель ConsenSys. Миллиардер. Предприниматель...
Поисковые результаты гугла на запрос "Любин" – это сплошной поток новостей о Любине и его инвестициях в блокчейн-стартапы или же пророчества о будущем крипторынка. Бёрнетт был поражен. Это может означать решающий прорыв для LaneAxis! Компании, партнером которых стал ConsenSys, зачастую распродают свои токены всего за несколько минут после того, как получают официальную поддержку Любина.
Команда LaneAxis немедленно занялась поиском информации о Любине и его компании ConsenSys. Первым делом они пошли проверять, действительно ли сообщения в Телеграме пришли от Любина.
Telegram является излюбленной платформой для общения, которой пользуется криптосообщество – платформа шифрует сообщения, а также предлагает гибкий функционал чатов. Приложение позволяет создавать публичные имена пользователей, что дает пользователям возможность написать сообщения любым другим пользователям сети, который также создали себе учетную запись. Как и в любой другой сети, юзернейм должен быть уникальным, при этом личные имена, как правило, не являются гарантией подлинности стоящей за ними личности. Тем не менее, Telegram предлагает пользователям возможность создать "онлайн-личность", чтобы гарантировать аутентичность юзернейма, если одно и то же имя встречается в учетных записях как минимум двух разных социальных сетей (Facebook, Twitter, Instagram).
Любин ведет свой Telegram под именем @ethereumJoseph. Его подтвержденное имя пользователя в сети Twitter также @ethereumJoseph. Полагаясь на Twitter, Бёрнетт и его команда пришли к выводу, что ConsenSys и Любин наверняка приняли меры по защите его подтвержденного имени пользователя в сетях Twitter и Telegram, и поэтому было решено, что изначальное сообщение пришло от самого настоящего Любина.
Бёрнетт, который в настоящий момент запускает проект LaneAxis – основанную на протоколе Ethereum виртуальную систему управления грузоперевозками, не очень представлял себе, кто такой Любин, но предложил поговорить с ним и дать ему более подробную информацию о проекте, его блокчейне и кампании по продаже токенов. После короткого телефонного разговора Любин сказал, что обдумает информацию и внимательно изучит платформу LaneAxis.
Бёрнетт, которому стало интересно, что же это за потенциальный инвестор, пошел гуглить Любина.
Сооснователь компании Ethereum. Основатель ConsenSys. Миллиардер. Предприниматель...
Поисковые результаты гугла на запрос "Любин" – это сплошной поток новостей о Любине и его инвестициях в блокчейн-стартапы или же пророчества о будущем крипторынка. Бёрнетт был поражен. Это может означать решающий прорыв для LaneAxis! Компании, партнером которых стал ConsenSys, зачастую распродают свои токены всего за несколько минут после того, как получают официальную поддержку Любина.
Команда LaneAxis немедленно занялась поиском информации о Любине и его компании ConsenSys. Первым делом они пошли проверять, действительно ли сообщения в Телеграме пришли от Любина.
Telegram является излюбленной платформой для общения, которой пользуется криптосообщество – платформа шифрует сообщения, а также предлагает гибкий функционал чатов. Приложение позволяет создавать публичные имена пользователей, что дает пользователям возможность написать сообщения любым другим пользователям сети, который также создали себе учетную запись. Как и в любой другой сети, юзернейм должен быть уникальным, при этом личные имена, как правило, не являются гарантией подлинности стоящей за ними личности. Тем не менее, Telegram предлагает пользователям возможность создать "онлайн-личность", чтобы гарантировать аутентичность юзернейма, если одно и то же имя встречается в учетных записях как минимум двух разных социальных сетей (Facebook, Twitter, Instagram).
Любин ведет свой Telegram под именем @ethereumJoseph. Его подтвержденное имя пользователя в сети Twitter также @ethereumJoseph. Полагаясь на Twitter, Бёрнетт и его команда пришли к выводу, что ConsenSys и Любин наверняка приняли меры по защите его подтвержденного имени пользователя в сетях Twitter и Telegram, и поэтому было решено, что изначальное сообщение пришло от самого настоящего Любина.
Всю следующую неделю Бёрнетт переписывался с Любиным, получая от него лаконичные ответы – практически визитная карточка гламурных миллиардеров, управляющих бизнес-империями. Начало конца пришлось на 15 сентября, когда Любин прислал Бёрнетту заманчивое предложение.
Любин : "Чем могу помочь?"
Бёрнетт: "Я бы очень хотел, чтобы ты подключился к проекту. В любом качестве, по твоему выбору – инвестор? ConsenSys? член команды? – и разрешил бы нам написать об этом пресс-релиз. Скажи мне свои условия, и я готов."
Любин : "Как насчет партнерства с ConsenSys?"
Бёрнетт: "Давай. Какие следующие шаги?
Любин : "Информацию пришлю в понедельник"
Команда LaneAxis провела всю остальную неделю за подготовкой к сделке и общением с Любиным. Любин прислал Бёрнетту подготовленный ConsenSys контракт со своего личного почтового ящика (а не с ящика ConsenSys), что показалось Бёрнетту немного странным, и о чем он посчитал нужным спросить Любина.
В ответ Любин сообщил, что это адрес его личный почты. Испытывая некоторые сомнения, Бёрнетт тем не менее рассудил, что фигура масштаба Любина вполне может пользоваться для переписки и даже для деловых переговоров адресами электронной почты, не связанными с какой-либо конкретной компанией. Бёрнетт не хотел спугнуть готовящуюся сделку с несколько эксцентричным миллиардером и оставил вопрос в покое.
В центре полученного контракта был обмен токенов. Если ConsenSys пройдет тщательную юридическую проверку и удовлетворит условия продажи токенов LaneAxis, LaneAxis получит поддержку ConsenSys и $2,2 миллиона в Эфире за $2 миллиона в выпускаемых проектом LaneAxis AXIS токены. По условиям контракта, обе компании направят по шестьдесят процентов полученных токенов в резерв, а сорок процентов будет пущено в оборот. Бёрнетт получил заключенный контракт на бланке ConsenSys за подписью Любина. Команда LaneAxis отпраздновала свое новоиспеченное партнерство с компанией ConsenSys.
Любин через Телеграм свел Бёрнетта с Джеймсом Слазасом, Главой отдела рынков капитала в ConsenSys, для исполнения контракта. Получив от Любина подписанный контракт с водяными знаками, адресом и прочей информацией ConsenSys, Слазас предоставил Бёрнетту информацию о проводке и дал ему адреса двух криптокошельков для обмена.
И именно это и стало своего рода предупредительным звоночком.
"Мы до сих пор не получили ни одного сообщения, которое пришло бы напрямую с официальных адресов компании ConsenSys. Слазас в ConsenSys– именно тот специалист, который отвечал бы за такую сделку, но вся остальная переписка проходила либо через Telegram, либо через личную почту. Бизнес Любина первым ввел в употребление смарт-контракты. Они отлично понимают, зачем может быть нужно официальное подтверждение, прежде чем токены будут отправлены на незнакомый кошелек," – говорит Бёрнетт.
В этот момент команда LaneAxis попыталась установить контакты с Любиным через проверенные, официальные каналы. Ответов с официального рабочего адреса Любина, который он стали ставить в копию, получив его несколькими днями раньше, не поступало. Без ответа остались и личные сообщения через Twitter. Наконец, Бёрнетт написал Любину сообщение в LinkedIn. Через несколько часов представители ConsenSys ему ответили.
Никакой сделки не было и нет. С настоящим Джозефом Любин LaneAxis не переписывался.
Команда LaneAxis была в шоке – две недели было потрачено на активную деятельность, которая в конце концов оказалась мошенничеством. Очевидно, что это была мультимиллионная схема, глубоко затрагивавшая личные данные Любина, в которой самозванцы выдавали себя за него и его компанию и абсолютно профессионально подделали заключенные якобы им документы. Бёрнетт буквально в последнюю секунду просчитал скам и решил, что теперь надо приложить усилия к тому, чтобы другие игроки рынка не стали жертвами подобных историй.
Представители LaneAxis на следующий же день назначили телефонный звонок с настоящим Джозефом Любиным и ConsenSys, дабы привлечь их внимание к неудавшейся попытке мошенничества и убедить их взять их онлайн-личности под свой контроль.
Всю следующую неделю Бёрнетт переписывался с Любиным, получая от него лаконичные ответы – практически визитная карточка гламурных миллиардеров, управляющих бизнес-империями. Начало конца пришлось на 15 сентября, когда Любин прислал Бёрнетту заманчивое предложение.
Любин : "Чем могу помочь?"Лучшие трейдеры На основании оценок пользователейСмотреть всеБёрнетт: "Я бы очень хотел, чтобы ты подключился к проекту. В любом качестве, по твоему выбору – инвестор? ConsenSys? член команды? – и разрешил бы нам написать об этом пресс-релиз. Скажи мне свои условия, и я готов."
Любин : "Как насчет партнерства с ConsenSys?"
Бёрнетт: "Давай. Какие следующие шаги?
Любин : "Информацию пришлю в понедельник"
Команда LaneAxis провела всю остальную неделю за подготовкой к сделке и общением с Любиным. Любин прислал Бёрнетту подготовленный ConsenSys контракт со своего личного почтового ящика (а не с ящика ConsenSys), что показалось Бёрнетту немного странным, и о чем он посчитал нужным спросить Любина.
В ответ Любин сообщил, что это адрес его личный почты. Испытывая некоторые сомнения, Бёрнетт тем не менее рассудил, что фигура масштаба Любина вполне может пользоваться для переписки и даже для деловых переговоров адресами электронной почты, не связанными с какой-либо конкретной компанией. Бёрнетт не хотел спугнуть готовящуюся сделку с несколько эксцентричным миллиардером и оставил вопрос в покое.
В центре полученного контракта был обмен токенов. Если ConsenSys пройдет тщательную юридическую проверку и удовлетворит условия продажи токенов LaneAxis, LaneAxis получит поддержку ConsenSys и $2,2 миллиона в Эфире за $2 миллиона в выпускаемых проектом LaneAxis AXIS токены. По условиям контракта, обе компании направят по шестьдесят процентов полученных токенов в резерв, а сорок процентов будет пущено в оборот. Бёрнетт получил заключенный контракт на бланке ConsenSys за подписью Любина. Команда LaneAxis отпраздновала свое новоиспеченное партнерство с компанией ConsenSys.
Любин через Телеграм свел Бёрнетта с Джеймсом Слазасом, Главой отдела рынков капитала в ConsenSys, для исполнения контракта. Получив от Любина подписанный контракт с водяными знаками, адресом и прочей информацией ConsenSys, Слазас предоставил Бёрнетту информацию о проводке и дал ему адреса двух криптокошельков для обмена.
И именно это и стало своего рода предупредительным звоночком.
"Мы до сих пор не получили ни одного сообщения, которое пришло бы напрямую с официальных адресов компании ConsenSys. Слазас в ConsenSys– именно тот специалист, который отвечал бы за такую сделку, но вся остальная переписка проходила либо через Telegram, либо через личную почту. Бизнес Любина первым ввел в употребление смарт-контракты. Они отлично понимают, зачем может быть нужно официальное подтверждение, прежде чем токены будут отправлены на незнакомый кошелек," – говорит Бёрнетт.
В этот момент команда LaneAxis попыталась установить контакты с Любиным через проверенные, официальные каналы. Ответов с официального рабочего адреса Любина, который он стали ставить в копию, получив его несколькими днями раньше, не поступало. Без ответа остались и личные сообщения через Twitter. Наконец, Бёрнетт написал Любину сообщение в LinkedIn. Через несколько часов представители ConsenSys ему ответили.
Никакой сделки не было и нет. С настоящим Джозефом Любин LaneAxis не переписывался.
Команда LaneAxis была в шоке – две недели было потрачено на активную деятельность, которая в конце концов оказалась мошенничеством. Очевидно, что это была мультимиллионная схема, глубоко затрагивавшая личные данные Любина, в которой самозванцы выдавали себя за него и его компанию и абсолютно профессионально подделали заключенные якобы им документы. Бёрнетт буквально в последнюю секунду просчитал скам и решил, что теперь надо приложить усилия к тому, чтобы другие игроки рынка не стали жертвами подобных историй.
Представители LaneAxis на следующий же день назначили телефонный звонок с настоящим Джозефом Любиным и ConsenSys, дабы привлечь их внимание к неудавшейся попытке мошенничества и убедить их взять их онлайн-личности под свой контроль.
ConsenSys выпустил короткое заявление, но неделю спустя @ethereumJoseph продолжал писать Бёрнетту о фальшивой сделке, и @ethereumJoseph по-прежнему фигурировал на первой странице гугл-поиска в Твиттере рядом с настоящим Джозефом Любиным.
Жулики позаботились практически обо всех "театральных реквизитах", необходимых для того, чтобы выдать себя за Любина: у них было имя пользователя в сети Telegram, адреса, логотипы, графические изображения, расписания, Телеграм-каналы коллег, подписи и юридические документы. Единственной уликой был "личный" почтовый ящик.
"Регулярная раздача пользователями своей личной информации организациям с централизованными дата-центрами, которые, как правило, на ней наживаются, это абсолютное безумие. Существующая модель не работает и уязвима к хакерским атакам. Настала пора восстановить контроль над нашими личными данными", –заявил Джозеф Любин после взлома систем компании Equifax breach в 2017 г.
Со времени провалившейся "сделки" уже прошло несколько недель, а Любин так до сих пор и не отобрал у аферистов свое имя пользователя, свою личность в Телеграме.
ConsenSys никоим образом не отреагировал на реальные, изощренные и успешные попытки мошенников выдать себя за основателя и саму компанию. Если личность одного из наиболее известных деятелей индустрии цифровой безопасности, находящегося в авангарде новых децентрализованных технологий, может быть украдена, то кто из нас, простых смертных, может чувствовать себя в безопасности?
Децентрализация и шифрование не стоят выеденного яйца, если с информацией изначально обращаются небрежно.
При том, что отсутствие реакции со стороны ConsenSys не может не вызывать изумления, основную вину Бёрнетт возлагает на мессенджер Telegram. "В конце концов это проблема Телеграма. Выявлять скам и предотвращать его повторение в будущем – их прямая обязанность. Если команда хочет сохранить репутацию платформы как золотого стандарта безопасного обмена сообщениями, им необходимо усовершенствовать процедуру подтверждения личности пользователей... Это, конечно, если они хотят сохранить доверие сообщества".
Telegram не ответил на запросы представителей проекта LaneAxis о фальшивых аккаунтах и мошеннической деятельности на платформе.
Последние несколько месяцев были не слишком удачны для репутации протоколов безопасности Телеграма. В конце августа в коде платформы обмена сообщениями со сквозным шифрованием была обнаружена ошибка, в результате которой оказалась возможной утечка "приватных" IP-адресов пользователей в ходе голосовых звонков с компьютера, что могло подставить пользователей под удар хакеров. В конце июля другая ошибка в коде Телеграма также привела к утечке приватных IP-адресов пользователей. В апреле было объявлено, что предметом утечки могли стать чуть ли не 70 миллионов учетных записей на платформе.
Сейчас прямо на наших глазах происходит блокчейн-революция, но перед молодой отраслью стоят важные задачи: трансформировать структуры власти по всему миру, принести демократию в интернет, освободив данные пользователей из плена интернет-гигантов, и вывести на качественно новый уровень цифровую безопасность. Апологеты блокчейна, включая Любина, любят поговорить о конце эпохи краж личных данных и крупномасштабных хакерских атак, обещая доселе невиданную эффективность в глобальной коммерции и сотрудничестве.
По следам недавнего мошенничества, жертвой которого чуть не стала его компания, Бёрнетт призывает всех участников рынка принять серьезные меры для обеспечения безопасности: "Я надеюсь, что все игроки всерьез отнесутся к повышению онлайн-безопасности. Джозеф и его компания ConsenSys открывают новую эру инноваций, и то, что кто-то сумел получить доступ к такому невероятному объему их персональной информации и попытался присвоить себе их личности, вызывает огромное беспокойство. Еще большее беспокойство вызывает то, что, даже будучи проинформированы о случившемся, они не сделали ничего для того, чтобы оперативно вернуть себе похищенное. Мы как сообщество должны совместными усилиями взять в свои собственные руки контроль над своим присутствием в Сети и требовать, чтобы такие платформы, как Telegram, лучше делали свою работу".
Как показывает история с самозванцами, выдававшими себя за представителей ConsenSys, и недостаточно надежной системой верификации пользователей в Телеграме, с того момента, как в нашу жизнь вошел "не требующий доверия" интернет, мы не можем полагаться в защите информации лишь на технологии. По мере того, как сети становятся все более безопасными благодаря децентрализации, надлежащая и тщательная проверка, пристальный мониторинг аккаунтов, и осторожное обращение с информацией со стороны работников отрасли приобретают все большее значение.
LaneAxis раскрыл попытку мошенничества, взяв в свои руки процесс установления личности своих потенциальных партнеров и выявив основные бреши в пользующихся доверием системах. Скрупулезно изучив все коммуникации с аферистами, команда LaneAxis обнаружила настоящее имя одного из банды, погребенное в метаданных одного из контрактов. Бёрнетт передал эти сведения в ФБР, о чем был уведомлен настоящий Джозеф Любин. Бёрнетт надеется, что расследование, проведенное его командой, оградит другие стартапы от аналогичных обманных схем и подтолкнет такие компании, как ConsenSys и Telegram, к тому, чтобы улучшить наконец свои протоколы обеспечения безопасности.
ConsenSys выпустил короткое заявление, но неделю спустя @ethereumJoseph продолжал писать Бёрнетту о фальшивой сделке, и @ethereumJoseph по-прежнему фигурировал на первой странице гугл-поиска в Твиттере рядом с настоящим Джозефом Любиным.
Жулики позаботились практически обо всех "театральных реквизитах", необходимых для того, чтобы выдать себя за Любина: у них было имя пользователя в сети Telegram, адреса, логотипы, графические изображения, расписания, Телеграм-каналы коллег, подписи и юридические документы. Единственной уликой был "личный" почтовый ящик.
"Регулярная раздача пользователями своей личной информации организациям с централизованными дата-центрами, которые, как правило, на ней наживаются, это абсолютное безумие. Существующая модель не работает и уязвима к хакерским атакам. Настала пора восстановить контроль над нашими личными данными", –заявил Джозеф Любин после взлома систем компании Equifax breach в 2017 г.
Со времени провалившейся "сделки" уже прошло несколько недель, а Любин так до сих пор и не отобрал у аферистов свое имя пользователя, свою личность в Телеграме.
ConsenSys никоим образом не отреагировал на реальные, изощренные и успешные попытки мошенников выдать себя за основателя и саму компанию. Если личность одного из наиболее известных деятелей индустрии цифровой безопасности, находящегося в авангарде новых децентрализованных технологий, может быть украдена, то кто из нас, простых смертных, может чувствовать себя в безопасности?
Децентрализация и шифрование не стоят выеденного яйца, если с информацией изначально обращаются небрежно.
При том, что отсутствие реакции со стороны ConsenSys не может не вызывать изумления, основную вину Бёрнетт возлагает на мессенджер Telegram. "В конце концов это проблема Телеграма. Выявлять скам и предотвращать его повторение в будущем – их прямая обязанность. Если команда хочет сохранить репутацию платформы как золотого стандарта безопасного обмена сообщениями, им необходимо усовершенствовать процедуру подтверждения личности пользователей... Это, конечно, если они хотят сохранить доверие сообщества".
Telegram не ответил на запросы представителей проекта LaneAxis о фальшивых аккаунтах и мошеннической деятельности на платформе.
Последние несколько месяцев были не слишком удачны для репутации протоколов безопасности Телеграма. В конце августа в коде платформы обмена сообщениями со сквозным шифрованием была обнаружена ошибка, в результате которой оказалась возможной утечка "приватных" IP-адресов пользователей в ходе голосовых звонков с компьютера, что могло подставить пользователей под удар хакеров. В конце июля другая ошибка в коде Телеграма также привела к утечке приватных IP-адресов пользователей. В апреле было объявлено, что предметом утечки могли стать чуть ли не 70 миллионов учетных записей на платформе.
Сейчас прямо на наших глазах происходит блокчейн-революция, но перед молодой отраслью стоят важные задачи: трансформировать структуры власти по всему миру, принести демократию в интернет, освободив данные пользователей из плена интернет-гигантов, и вывести на качественно новый уровень цифровую безопасность. Апологеты блокчейна, включая Любина, любят поговорить о конце эпохи краж личных данных и крупномасштабных хакерских атак, обещая доселе невиданную эффективность в глобальной коммерции и сотрудничестве.
По следам недавнего мошенничества, жертвой которого чуть не стала его компания, Бёрнетт призывает всех участников рынка принять серьезные меры для обеспечения безопасности: "Я надеюсь, что все игроки всерьез отнесутся к повышению онлайн-безопасности. Джозеф и его компания ConsenSys открывают новую эру инноваций, и то, что кто-то сумел получить доступ к такому невероятному объему их персональной информации и попытался присвоить себе их личности, вызывает огромное беспокойство. Еще большее беспокойство вызывает то, что, даже будучи проинформированы о случившемся, они не сделали ничего для того, чтобы оперативно вернуть себе похищенное. Мы как сообщество должны совместными усилиями взять в свои собственные руки контроль над своим присутствием в Сети и требовать, чтобы такие платформы, как Telegram, лучше делали свою работу".
Как показывает история с самозванцами, выдававшими себя за представителей ConsenSys, и недостаточно надежной системой верификации пользователей в Телеграме, с того момента, как в нашу жизнь вошел "не требующий доверия" интернет, мы не можем полагаться в защите информации лишь на технологии. По мере того, как сети становятся все более безопасными благодаря децентрализации, надлежащая и тщательная проверка, пристальный мониторинг аккаунтов, и осторожное обращение с информацией со стороны работников отрасли приобретают все большее значение.
LaneAxis раскрыл попытку мошенничества, взяв в свои руки процесс установления личности своих потенциальных партнеров и выявив основные бреши в пользующихся доверием системах. Скрупулезно изучив все коммуникации с аферистами, команда LaneAxis обнаружила настоящее имя одного из банды, погребенное в метаданных одного из контрактов. Бёрнетт передал эти сведения в ФБР, о чем был уведомлен настоящий Джозеф Любин. Бёрнетт надеется, что расследование, проведенное его командой, оградит другие стартапы от аналогичных обманных схем и подтолкнет такие компании, как ConsenSys и Telegram, к тому, чтобы улучшить наконец свои протоколы обеспечения безопасности.