Емітент стейблкоїнів TrueUSD повідомив про порушення безпеки у свого колишнього провайдера банківських послуг TrueCoin, що поставило під загрозу розкриття особистої інформації деяких клієнтів.
TUSD team was informed by TrueCoin that they received a third-party vendor's notification that the vendor’s Security Team detected “an anomalous account change within [TrueCoin’s] organization made by a compromised support vendor.”
— TrueUSD (@tusdio) October 16, 2023
Інцидент стався ще 20 вересня. Тоді в обліковому записі TrueCoin було виявлено “аномальну зміну, зроблену скомпрометованим постачальником підтримки”.
Оскільки компанія до 13 липня 2023 року виступала як оператор TrueUSD, вона зберігає певні KYC-дані, включно з іменами та прізвищами користувачів, електронною поштою та номерами телефонів, адресами, датами народження, назвами банків, історіями транзакцій і публічними адресами блокчейн-акаунтів.
Частина цієї інформації могла потенційно потрапити до зловмисників.
При цьому внутрішні системи TrueCoin не були скомпрометовані. Одразу після повідомлення про інцидент команда з кібербезпеки вжила заходів для запобігання подальшому несанкціонованому доступу і почала розслідування.
Представники TrueUSD наголосили, що їхня система не зазнала атаки і резерви TUSD не були порушені інцидентом.
TUSD system is SECURE and not attacked. Both TUSD system and TUSD's reserves are UNAFFECTED.
— TrueUSD (@tusdio) October 16, 2023
Проте вони рекомендували користувачам уважно стежити за своїми особистими рахунками на предмет будь-якої підозрілої активності.
Нагадаємо, наприкінці вересня в загальний доступ просочилася персональна інформація частини користувачів аналітичної платформи Nansen. Тоді витік також стався внаслідок компрометації стороннього постачальника даних.