我的最新被坑經歷：一旦提交身份信息，數據泄露只是時間問題

2023-09-16 16:09:14

原文《 To submit, or not to submit 》 ，作者：Dana J. Wright ，由Odaily星球日報 jk 編譯。

人的直覺是一種難以置信的工具。我們在日常生活中遇到許多事情，它們如此深刻和復雜，以至於在當前的認知發展階段，我們無法完全理解它們。

在线數據收集就是一個完美的例子。當你為一個應用或服務注冊時，你對你的名字、電子郵件地址、地點、生物識別數據和其他提交的任何信息會發生什么毫無概念。

然而，你總是在做出決策。

當你進入一個創建账戶頁面、聯系表格或輸入支付詳情頁面時，你有意識或無意識地快速評估你多么信任這個公司或平臺，然後再衡量你多么想要數據收集這一步之後的東西，然後決定是否提交。

就在前幾天，我自己也遇到了這樣的情況。

以下是我對我的決策過程的快速回顧，我的直覺告訴我什么，為什么我決定做這件事情，以及在這些情況下做出錯誤選擇的惡果。

故事從這封郵件开始

2022 年 11 月，隨着整個 FTX 帝國的崩潰， BlockFi .US 因購买了其控股權而停止運營，禁止客戶提款，並申請破產。

我在 BlockFi 的資產數量並不大，但也不是完全可以忽略不計。了解其他像 Celsius 和 Voyager 這種倒了大黴加密公司的破產流程後，我並沒有太多希望能夠拿回這些資金。

所以，這封電子郵件對我來說是一個愉快的驚喜。（起碼當時是。）

BlockFi 的第二封電子郵件：收到提款請求。

提款似乎很簡單。

我選擇了要轉移的資產，輸入了金額和我的錢包地址。 我首先只輸入了一個小金額，以測試並確保一切順利 ，這是我在經歷了許多痛苦的教訓後養成的習慣。

不久之後，我收到了一封電子郵件確認，其中包含提款的摘要，但我的錢包裏沒有收到資金。從中心化交換平臺進行轉账需要很長時間並不罕見，所以我對此並不太擔心，然後繼續我的日常生活。

BlockFi 的第三封電子郵件要求進行身份驗證。

幾個小時後，我收到了另一封來自 BlockFi 的電子郵件，稱為了完成提款請求，我需要提交身份驗證。

這種騙局被稱為“霰彈式 KYC”，在加密社群中衆所周知。

這是當交易平臺允許你用非常少的阻力將盡可能多的資金轉入你的账戶，但當你試圖轉出資金時，你就會受到繁瑣的身份驗證流程的困擾，這可能需要很長時間。

各種交易所的用戶報告說，KYC 處理可能需要幾個月的時間，甚至有時账戶會被無限期凍結。

對了，“霰彈式 KYC”這個說法由 odell 在 2019 年提出。

BlockFi 的第三方 KYC 提供商的身份驗證表格。

不繞彎子，我提交了。

我提交了六項敏感的個人身份信息，我的官方 ID 和一個生物檢查（生物面部掃描）。

回顧起來，原因如下：

不同的人會對他們的數據賦予不同的貨幣價值。如果你是億萬富翁，那么你需要全面進行 KYC 並承擔這些風險所需的賠償可能是數百萬，或者根本不值得。

對我來說，這個門檻要低得多。

重要的是要明白，你應該在你的身份數據上設置一個“溢價”。

隨着時間的推移，平臺將信息出售給第三方或遭到黑客攻擊的概率幾乎是 100% ，因此你需要為此獲得相應的補償。

Blockfi 的電子郵件告訴我，身份驗證有助於保護他的账戶和資產。這完全是謊言。

當我在 BlockFi 的電子郵件中讀到這句話時，我只是翻了個白眼。我完全明白，這是一個有害的謊言。提交 KYC（了解你的客戶）資料會讓個人面臨他們以前從未需要擔心過的各種攻擊。

具體來說有以下幾點：

如果你的账戶被黑，裏面包含的信息足夠讓竊賊不僅竊取你的資金，還能竊取你的身份。根據你的淨資產與你在交易所存放的金額，你的 KYC 信息可能遠比你的資金更有價值。一旦黑客獲得訪問你账戶的權限，所有這些信息通常都可以直接從設置菜單中下載，通常位於隱私設置下。
如果交易平臺被黑，客戶數據是越來越受攻擊的目標。交易平臺一旦丟失客戶資金就會立即面臨法律、聲譽和財務上的滅頂之災，但客戶數據則不然。我還沒有見過任何因黑客攻擊而丟失數據的企業直接給客戶提供賠償。
如果交易所分享了你的數據，你的數據最終可能流向何處的可能性是無限的。這一點是最讓人擔憂的，因為交易所確實會把你的數據提供給分析公司、其他金融機構和政府機構。現在大多數交易所都將整個 KYC 過程外包給第三方。例如，這家公司聲稱存儲了超過 1000 個平臺的 KYC 數據。（我甚至不知道有 1000 個加密貨幣平臺。）

一旦這些第三方擁有了你的數據，你就完全失去了對它的控制，並在數據遭到泄露時放棄了任何追索權。

而且這些數據肯定會被泄露，只是時間問題。