La recién iniciada cadena de criptomonedas Sentinel Chain, que prometió «desbloquear el potencial económico» de los pobres, lanzó su oferta inicial de monedas (ICO) a principios de esta semana, pero olvidó una cosa: una vulnerabilidad crítica que hizo posible robar el datos, incluidos sus correos electrónicos e imágenes de pasaporte.
Poco después de lanzar su ICO el 5 de febrero, Sentinel Chain se vio obligada a cerrar temporalmente su venta de tokens después de que la empresa fuera notificada de que su sistema KYC (un procedimiento común que los usuarios deben completar para ingresar las ventas de tokens) estaba filtrando las credenciales de los usuarios debido a un error grave.
Desde entonces, la compañía confirmó el problema en su página oficial de Medium , donde también detalló el impacto total de la vulnerabilidad. » Alrededor de las 00:15 GMT, uno de nuestros participantes registrados de Sentinel nos notificó sobre la vulnerabilidad en nuestro sitio web», escribió el CEO Roy Lai.
» Toda la información personal enviada, como direcciones de correo electrónico, contraseñas o direcciones públicas de Ethereum, se encriptaron en nuestra base de datos», continuó. «Sin embargo, una vulnerabilidad en nuestro sitio de registro permitió que otros usuarios registrados accedieran a algunos de los archivos cargados».
Según la publicación, el equipo de Sentinel pudo identificar un total de 15 personas que intentaron explotar este problema.
» Al mismo tiempo, el equipo identificó a los 21 participantes registrados que se han visto afectados por el incidente», agregó Lai. «Durante los últimos días, me he comunicado personalmente con ellos para asegurarles que estamos tomando todas las medidas necesarias para proteger su información personal».
Sentinel Chain dice que desde entonces ha denunciado la violación a las autoridades por seguridad.
«Después de nuestras investigaciones exhaustivas, podemos confirmar que este incidente fue un descubrimiento involuntario y accidental», explica la publicación del blog. «Hemos obtenido su conformidad y cooperación para destruir los archivos. No tenemos evidencia para sugerir que este fue un ataque malicioso «.
«Según lo exige la ley y con el asesoramiento de nuestros asesores legales, también hemos notificado a las autoridades pertinentes, el gobierno y las agencias encargadas de hacer cumplir la ley».
De hecho, alguien se quejó en un hilo de Reddit que ya había sido eliminado y que, luego de sacar a Sentinel de la amenaza de seguridad, la empresa con sede en Singapur pasó a informar el cartel anónimo a la policía.
» Recibí un correo electrónico de InfoCorp, la empresa propietaria de Sentinel Chain, que dice que han notificado a las autoridades pertinentes y que están en consulta con sus asesores legales para buscar dicho acceso no autorizado en la máxima medida permitida por ley, incluida la computadora. Ley de mal uso y seguridad cibernética (Capítulo 50A) «, afirmó el afiche.
«Como agradecimiento por informar la [vulnerabilidad] obtuve una investigación policial», dice el mensaje.
Sentinel Chain ya ha revelado sus intenciones de reanudar el ICO el 10 de febrero, pero este error refleja especialmente su reputación.
A pesar del respaldo de InfoCorp, firma fintech de Singapur, y una asociación reciente con VeChain, la solución emergente de blockchain, la filtración probablemente asustará a una cantidad de posibles inversores, como debería ser.
Mientras tanto, Sentinel no es la única startup que se equivoca al proteger adecuadamente los datos de sus usuarios. De hecho, la semana pasada, un competidor próximo de Airbnb, conocido como BeeToken, fue pirateado con su lista de correo electrónico , lo que permitió a los atacantes engañar a más de un millón de Ether de los inversores.
En todo caso, el contratiempo Sentinel continúa demostrando que, al contrario de lo que se cree, mover su negocio en la cadena de bloques todavía lo hace susceptible a infracciones.