nguyên bảnTo submit, or not to submit》, được viết bởi Dana J. Wright, được biên soạn bởi Odaily jk.

Trực giác của con người là một công cụ đáng kinh ngạc. Chúng ta gặp nhiều điều trong cuộc sống hàng ngày sâu sắc và phức tạp đến mức chúng ta không thể hiểu hết chúng ở giai đoạn phát triển nhận thức hiện tại.

Thu thập dữ liệu trực tuyến là một ví dụ hoàn hảo. Khi đăng ký một ứng dụng hoặc dịch vụ, bạn không biết điều gì sẽ xảy ra với tên, địa chỉ email, vị trí, dữ liệu sinh trắc học và bất kỳ thông tin nào khác mà bạn gửi.

Tuy nhiên, bạn luôn đưa ra quyết định.

Khi bạn vào một trang để tạo tài khoản, liên hệ với biểu mẫu hoặc nhập chi tiết thanh toán, bạn sẽ nhanh chóng đánh giá mức độ tin cậy của bạn đối với công ty hoặc nền tảng, sau đó cân nhắc mức độ bạn muốn thứ gì đó ngoài bước thu thập dữ liệu và sau đó quyết định có nộp hay không.

Chỉ cách đây vài ngày, chính tôi cũng gặp phải tình huống này.

Dưới đây là bản tóm tắt nhanh về quá trình ra quyết định của tôi, những gì trực giác mách bảo, tại sao tôi quyết định làm những gì mình đã làm và hậu quả của việc lựa chọn sai lầm trong những tình huống này.

Câu chuyện bắt đầu từ email này

Vào tháng 11 năm 2022, khi toàn bộ đế chế FTX sụp đổ, BlockFi.US đã ngừng hoạt động, cấm khách hàng rút tiền và nộp đơn xin phá sản khi mua cổ phần kiểm soát trong đó.

Lượng tài sản tôi có trong BlockFi không lớn nhưng cũng không hoàn toàn không đáng kể. Sau khi đọc về quá trình phá sản của các công ty tiền điện tử xấu số khác như C và Voyager, tôi không còn nhiều hy vọng lấy lại được tiền.

Vì vậy, email này đến với tôi như một bất ngờ thú vị. (Ít nhất là lúc đó.)

Yêu cầu rút tiền

Email thứ hai từ BlockFi: Đã nhận được yêu cầu rút tiền.

Rút tiền có vẻ đơn giản.

Tôi đã chọn nội dung tôi muốn chuyển, nhập số tiền và địa chỉ ví của mình.Đầu tiên tôi chỉ nhập một số tiền nhỏ để kiểm tra và đảm bảo mọi thứ diễn ra suôn sẻ, đây là thói quen tôi hình thành sau khi trải qua nhiều bài học đau đớn.

Ngay sau đó, tôi nhận được email xác nhận có nội dung tóm tắt về việc rút tiền nhưng không nhận được tiền nào trong ví của tôi. Không có gì lạ khi việc chuyển tiền từ các sàn giao dịch tập trung mất nhiều thời gian, vì vậy tôi không quá lo lắng về điều đó và tiếp tục cuộc sống hàng ngày của mình.

“Ảnh chụp KYC”

Email thứ ba từ BlockFi yêu cầu xác thực.

Vài giờ sau, tôi nhận được một email khác từ BlockFi nói rằng để hoàn thành yêu cầu rút tiền, tôi cần gửi xác minh danh tính.

Trò lừa đảo này được gọi là “shotgun KYC” và nổi tiếng trong cộng đồng tiền điện tử.

Đây là khi nền tảng giao dịch cho phép bạn chuyển nhiều tiền vào tài khoản của mình mà không gặp trở ngại gì, nhưng khi bạn cố gắng chuyển tiền ra, bạn sẽ gặp phải một quy trình xác thực tẻ nhạt và có thể mất nhiều thời gian.

Người dùng của nhiều sàn giao dịch khác nhau báo cáo rằng quá trình xử lý KYC có thể mất hàng tháng và đôi khi tài khoản thậm chí còn bị đóng băng vô thời hạn.

Nhân tiện, thuật ngữ “shotgun KYC” đã được odell đặt ra vào năm 2019.

Nộp hay không nộp

Biểu mẫu xác minh danh tính cho nhà cung cấp KYC bên thứ ba của BlockFi.

Không vòng vo nữa, tôi đã nộp đơn.

Tôi đã gửi sáu mẩu thông tin nhận dạng cá nhân nhạy cảm, giấy tờ tùy thân chính thức của tôi và kiểm tra sinh trắc học (quét khuôn mặt sinh học).

Nhìn lại, đây là lý do:

• Trong trường hợp này, có lý do chính đáng để xác minh danh tính bên cạnh việc giám sát tài chính, cụ thể là công ty luật có thể cần xác minh rằng người bị ký phát trên thực tế là chủ sở hữu hợp pháp của yêu cầu bồi thường;

• Email cho biết việc rút tiền có thể mất tới 90 ngày để xử lý và tôi biết thực tế có thể mất vài tháng, vì vậy tôi muốn xếp hàng nhanh nhất có thể;

• Đối với tôi, việc lấy lại đủ số tiền là điều đáng để mạo hiểm.

Những người khác nhau sẽ đặt các giá trị tiền tệ khác nhau trên dữ liệu của họ. Nếu bạn là một tỷ phú, số tiền bồi thường cần thiết để thực hiện KYC đầy đủ và chấp nhận những rủi ro này có thể lên tới hàng triệu USD hoặc không đáng chút nào.

Đối với tôi, tiêu chuẩn thấp hơn nhiều.

Điều quan trọng là phải hiểu rằng bạn nên đặt cao cấp cho dữ liệu nhận dạng của mình.

Gần như có 100% khả năng một nền tảng sẽ bán thông tin của bạn cho bên thứ ba hoặc bị hack theo thời gian, vì vậy bạn cần phải được bồi thường tương ứng.

Cân nhắc rủi ro và lợi ích

Email của Blockfi cho tôi biết rằng xác thực đã giúp bảo vệ tài khoản và tài sản của anh ấy. Đây là một lời nói dối hoàn toàn.

Khi tôi đọc câu này trong email từ BlockFi, tôi chỉ biết trợn mắt. Tôi hoàn toàn hiểu rằng đây là một lời nói dối có hại. Việc gửi thông tin KYC (Biết khách hàng của bạn) sẽ khiến các cá nhân gặp phải nhiều cuộc tấn công khác nhau mà trước đây họ chưa bao giờ phải lo lắng.

Cụ thể có những điểm sau:

• Nếu tài khoản của bạn bị hack, tài khoản đó chứa đủ thông tin để cho phép kẻ trộm đánh cắp không chỉ tiền mà còn cả danh tính của bạn. Tùy thuộc vào giá trị ròng của bạn so với số tiền bạn gửi trên sàn giao dịch, thông tin KYC của bạn có thể có giá trị hơn nhiều so với số tiền của bạn. Sau khi tin tặc có được quyền truy cập vào tài khoản của bạn, tất cả thông tin này thường có thể được tải xuống trực tiếp từ menu cài đặt, thường là trong cài đặt quyền riêng tư.

• Nếu một nền tảng giao dịch bị tấn công, dữ liệu khách hàng ngày càng trở thành mục tiêu dễ bị tấn công. Các nền tảng giao dịch phải đối mặt với thảm họa pháp lý, danh tiếng và tài chính ngay lập tức khi họ mất tiền của khách hàng chứ không phải dữ liệu khách hàng. Tôi vẫn chưa thấy doanh nghiệp nào bị mất dữ liệu do hacker đưa ra khoản bồi thường trực tiếp cho khách hàng của mình.

• Nếu một sàn giao dịch chia sẻ dữ liệu của bạn, thì khả năng dữ liệu của bạn có thể kết thúc ở đâu là vô tận. Đây là mối quan tâm lớn nhất vì các sàn giao dịch cung cấp dữ liệu của bạn cho các công ty phân tích, tổ chức tài chính khác và cơ quan chính phủ. Hầu hết các sàn giao dịch hiện đều thuê ngoài toàn bộ quy trình KYC cho bên thứ ba. Ví dụ: công ty tuyên bố lưu trữ dữ liệu KYC cho hơn 1.000 nền tảng. (Tôi thậm chí còn không biết có tới 1.000 nền tảng tiền điện tử.)

Khi các bên thứ ba này chiếm hữu dữ liệu của bạn, bạn hoàn toàn mất quyền kiểm soát dữ liệu đó và từ bỏ mọi quyền truy đòi nếu dữ liệu bị xâm phạm.

Và dữ liệu này chắc chắn sẽ bị rò rỉ, chỉ là vấn đề thời gian.

tin tặc tấn công

Lần thứ tư, BlockFi gửi cho tôi một email thông báo rằng dữ liệu của tôi đã bị hack.

Vào ngày 24 tháng 8 (chỉ bảy ngày sau khi email đầu tiên được gửi), tôi nhận được một email từ BlockFi nói rằngNhà cung cấp mà họ sử dụng cho KYC đã bị vi phạm dữ liệu và bên thứ ba trái phép đã có được quyền truy cập vào một lượng lớn dữ liệu khách hàng.

Điều này thực sự đáng kinh ngạc.

Đánh giá về thời điểm, tôi nghĩ kẻ tấn công có thể đã xâm nhập vào hệ thống liên quan.

Họ có thể chỉ đang đợi BlockFi mở chức năng rút tiền và buộc hàng chục nghìn người gửi dữ liệu của họ. Sau đó tấn công.

Đây thường là những hacker có kinh nghiệm.

suy nghĩ cuối cùng

Nhìn lại, nếu tôi biết dữ liệu của mình sẽ bị xâm phạm ngay lập tức, tôi vẫn gửi dữ liệu đó chứ?

Trên thực tế, có.Dữ liệu KYC của tôi đã bị hack nhiều lần. Nếu không, có lẽ tôi sẽ có những cân nhắc khác,Nhưng sự thật là tôi không còn quan tâm nữa.

Tuy nhiên, đối với những người có dữ liệu sinh trắc học và ID chính thức chưa được thu thập, mua bán nhiều lần trên web đen, điều quan trọng là phải hiểu rằng việc gửi KYC là một hành động cực kỳ nguy hiểm.

Tốt nhất, điều này làm tăng đáng kể nguy cơ danh tính của bạn bị đánh cắp. Tệ nhất là nó là một công cụ để giám sát tài chính quy mô lớn. Tất cả các cơ quan gồm ba chữ cái đều có cửa sau và sử dụng dữ liệu này theo những cách điên rồ mà bạn có thể không bao giờ đồng ý.

Điểm mấu chốt là: dữ liệu của bạn chỉ an toàn nếu nó không bao giờ được thu thập.

Vì vậy, lần tới khi bạn nhìn chằm chằm vào những biểu mẫu đó, hãy nhận ra tầm quan trọng của thông tin được yêu cầu, hãy tin vào trực giác của bạn và nếu phần thưởng không đủ lớn, hãy bỏ đi.