ICO lekt persoonlijke data en doet aangifte tegen melder van de kwetsbaarheid

De startup Sentinel Chain beloofde “het economisch potentieel” van de armen te openen. Daarvoor lanceerde het eerder deze week zijn initial coin offering (ICO), maar daarbij miste het een belangrijk detail. Er bleek een kritische kwetsbaarheid in het systeem te zitten, waarbij persoonlijke gegevens van gebruikers eenvoudig gestolen konden worden.

Daarbij bleek het te gaan om onder meer e-mailadressen en kopieën van de paspoorten van gebruikers. Kort nadat het bedrijf op 5 februari zijn ICO gelanceerd had, moest het dan ook tijdelijk de systemen offline halen. Daarop kon het bedrijf de kwetsbaarheid repareren. Vandaag meldt het niet alleen hoeveel gegevens gestolen zijn, maar ook wat er mis ging.

Weinig mensen getroffen

Rond kwart over twaalf ’s nachts meldde een van de deelnemers aan Sentinel dat er sprake was van een kwetsbaarheid. CEO Roy Lai schreef dat “alle persoonlijke gegevens, waaronder e-mailadressen, wachtwoorden en Ethereum-adressen die versleuteld in onze database stonden, door een kwetsbaarheid bekeken konden worden door een geregistreerd gebruiker.”

In hetzelfde bericht schrijft Lai dat er in totaal vijftien individuen waren die geprobeerd hebben de kwetsbaarheid te misbruiken. Tegelijk zijn er gegevens van 21 geregistreerde gebruikers buitgemaakt. “De afgelopen dagen heb ik hen persoonlijk benaderd om hen ervan te verzekeren dat we alle noodzakelijke stappen nemen om hun persoonlijke informatie te beschermen.”

Aangifte tegen melder

“Zoals de wet van ons vereist, en op advies van onze adviseurs, hebben we bepaalde instanties hiervan ingelicht,” aldus Lai. Opmerkelijk genoeg is daarbij aangifte gedaan tegen degene die de bug gemeld had. Die persoon klaagde volgens de site The Next Web in een nu verwijderd bericht op Reddit dat er aangifte tegen hem of haar gedaan was.

De gebruiker meldde dat er een mail vanuit InfoCorp, het bedrijf achter Sentinel Chain, binnen gekomen was, waarin stond dat er aangifte gedaan was. “Als bedankje voor het melden van [de kwetsbaarheid] krijg ik een politieonderzoek aan m’n broek”, aldus de anonieme gebruiker.

Waarom Sentinel dat precies gedaan heeft is niet duidelijk. Duidelijk is wel dat het team achter Sentinel snel verder wil. Het is de bedoeling om op 10 februari door te gaan met de ICO. Maar de blunder rond veiligheid zal ervoor zorgen dat er minder mensen interesse hebben.