הכר את הלקוח או הרוג את הלקוח?

לפני כמה ימים סיפרתי כאן על KYC – מדיניות "הכר את הלקוח" שמטרתה למנוע פעילות פלילית. והנה, החיים, כמו תמיד, מספקים לנו סיפור עדכני יותר והרבה יותר מפחיד.

בורסת הקריפטו הגדולה בארה"ב, קוינבייס Coinbase נפרצה. כנראה כבר בינואר 2025, אבל למה להלחיץ את הציבור בזמן אמת?

כל פרטי KYC של המשתמשים – כולל כתובות, תעודות זהות, יתרות חשבון, ופרטים בנקאיים – כבר מצאו את דרכם לידי ארגוני פשיעה. ככה זה כששומרים מידע רגיש כאילו מדובר ברשימת מכולת.

הכרתם את הלקוח? עכשיו הכנופיות מכירות אותו אפילו יותר טוב.

מי יודע, אולי זה ייגמר בסחיטה… ואולי במשהו קצת יותר טראגי.

קוינבייס, בואו נזכיר, היא לא עוד אפליקציית הימורים קיקיונית – זו בורסת הקריפטו הגדולה והמהימנה בארה"ב, שמניותיה נסחרות ב-S&P500, שעובדת עם ענקיות כמו בלאקרוק ופידליטי, ושאמורה להיות הסמן הימני של קריפטו לגיטימי. אז איך זה קרה?

אבטחת מידע?

המידע הרגיש של הלקוחות היה כל כך נגיש, שנציגי שירות בחו"ל – כן, אלה שמרוויחים משכורת מינימום בצד השני של כדור הארץ – יכלו לשלוף תעודות זהות, כתובות מגורים, ואפילו לבדוק מי מחזיק בכמה ואיזה קריפטו.

שקוינבייס תחשוב על הדפסת עותקים פיזיים, על שמירתם המאובטחת בארה"ב, עם גישה רק למחלקת הציות? עזבו, זה יקר.

אז עכשיו, כשאתם שומעים "פחות מ-1% מהלקוחות שלנו נפגעו" תבינו שזה פשוט אומר שהעבריינים מיפו את רשימת הלקוחות ומצאו את העשירים ביותר ששווה לסחוט. ויש גם בונוס – העבריינים ביקשו מקוינבייס כופר של 20 מיליון דולר כדי לקבל חזרה את הפרטים שנגנבו. 

ומה עכשיו?

קוינבייס, כמובן, הכריזה בגאווה שמעכשיו היא דורשת מלקוחותיה אימות נוסף למשיכות גדולות. כי אם כבר לקחת אחריות, אז רק איפה שכואב ללקוחות באמת – בכיס.

החדשות הטובות? אין לעבריינים את קודי ה-2FA שלכם (פרטי הסיסמה הדו שלבית לכניסה לחשבונכם). החדשות הרעות? הם לא צריכים אותם. העבריינים כבר יודעים איפה אתם גרים וכמה שווה לכם לשלם כדי להישאר בחיים.

רוצים לישון טוב בלילה? כך לא תהפכו ליעד הבא:

• אחזקה עצמאית (Self-Custody): תשאירו את הקריפטו בידיים שלכם. סכומים גדולים? אך ורק אחסון קר (Cold Storage).

• השקיעו דרך קרנות סל (ETF) מבוססות קריפטו: אם כבר "על הנייר", לפחות בלי לסכן את החיים שלכם.

• סטייקינג (Staking) ו-DeFi: תשואות גבוהות? ישירות דרך פרוטוקולים מבוזרים, בלי לחשוף תעודות זהות לכל דיכפין.

• ולפני הכול – תיפרדו מהאינסטגרם של הקריפטו. אל תחברו את הארנקים לפרופילים החברתיים. רוצה להשוויץ? עשה זאת באנונימיות.

• שקלו להשתמש ב-VPN. אם כבר להתחבא, אז כמו שצריך.

ולסיום, זכרו: אם אתם כבר עשירים או בדרך לשם – עדיף לא לספר על זה. ואם חלילה כבר נחשפתם? תשקלו לשכור מאבטח. לתמיד.

רשימה מתעדכנת של מעשי אלימות פיזיים כלפי מחזיקי קריפטו:

https://github.com/jlopp/physical-bitcoin-attacks

ומי שאחראית לכל זה? מה יקרה לקויינבייס? תובענה ייצוגית כבר הוגשה, אבל אל תצפו למשהו מעבר לכמה דולרים פיצוי ומילים חמות לבעלי המניות.