我的最新被坑经历：一旦提交身份信息，数据泄露只是时间问题

原文《 To submit, or not to submit 》 ，作者：Dana J. Wright ，由Odaily星球日报 jk 编译。

人的直觉是一种难以置信的工具。我们在日常生活中遇到许多事情，它们如此深刻和复杂，以至于在当前的认知发展阶段，我们无法完全理解它们。

在线数据收集就是一个完美的例子。当你为一个应用或服务注册时，你对你的名字、电子邮件地址、地点、生物识别数据和其他提交的任何信息会发生什么毫无概念。

然而，你总是在做出决策。

当你进入一个创建账户页面、联系表格或输入支付详情页面时，你有意识或无意识地快速评估你多么信任这个公司或平台，然后再衡量你多么想要数据收集这一步之后的东西，然后决定是否提交。

就在前几天，我自己也遇到了这样的情况。

以下是我对我的决策过程的快速回顾，我的直觉告诉我什么，为什么我决定做这件事情，以及在这些情况下做出错误选择的恶果。

故事从这封邮件开始

2022 年 11 月，随着整个 FTX 帝国的崩溃， BlockFi .US 因购买了其控股权而停止运营，禁止客户提款，并申请破产。

我在 BlockFi 的资产数量并不大，但也不是完全可以忽略不计。了解其他像 Celsius 和 Voyager 这种倒了大霉加密公司的破产流程后，我并没有太多希望能够拿回这些资金。

所以，这封电子邮件对我来说是一个愉快的惊喜。（起码当时是。）

提款请求

BlockFi 的第二封电子邮件：收到提款请求。

提款似乎很简单。

我选择了要转移的资产，输入了金额和我的钱包地址。 我首先只输入了一个小金额，以测试并确保一切顺利 ，这是我在经历了许多痛苦的教训后养成的习惯。

不久之后，我收到了一封电子邮件确认，其中包含提款的摘要，但我的钱包里没有收到资金。从中心化交换平台进行转账需要很长时间并不罕见，所以我对此并不太担心，然后继续我的日常生活。

“霰弹式 KYC”

BlockFi 的第三封电子邮件要求进行身份验证。

几个小时后，我收到了另一封来自 BlockFi 的电子邮件，称为了完成提款请求，我需要提交身份验证。

这种骗局被称为“霰弹式 KYC”，在加密社群中众所周知。

这是当交易平台允许你用非常少的阻力将尽可能多的资金转入你的账户，但当你试图转出资金时，你就会受到繁琐的身份验证流程的困扰，这可能需要很长时间。

各种交易所的用户报告说，KYC 处理可能需要几个月的时间，甚至有时账户会被无限期冻结。

对了，“霰弹式 KYC”这个说法由 odell 在 2019 年提出。

提交，还是不提交

BlockFi 的第三方 KYC 提供商的身份验证表格。

不绕弯子，我提交了。

我提交了六项敏感的个人身份信息，我的官方 ID 和一个生物检查（生物面部扫描）。

回顾起来，原因如下：

• 在这种情况下，进行身份验证除了金融监控之外还有一个合理的理由，即律师事务所可能需要验证提款人实际上是索赔的合法持有人；

• 电子邮件中说提款处理可能需要多达 90 天，我知道它可能实际上需要几个月，所以我想尽快排队；

• 对我来说，值得承担风险的拿回资金足够多。

不同的人会对他们的数据赋予不同的货币价值。如果你是亿万富翁，那么你需要全面进行 KYC 并承担这些风险所需的赔偿可能是数百万，或者根本不值得。

对我来说，这个门槛要低得多。

重要的是要明白，你应该在你的身份数据上设置一个“溢价”。

随着时间的推移，平台将信息出售给第三方或遭到黑客攻击的概率几乎是 100% ，因此你需要为此获得相应的补偿。

风险和利益的考量

Blockfi 的电子邮件告诉我，身份验证有助于保护他的账户和资产。这完全是谎言。

当我在 BlockFi 的电子邮件中读到这句话时，我只是翻了个白眼。我完全明白，这是一个有害的谎言。提交 KYC（了解你的客户）资料会让个人面临他们以前从未需要担心过的各种攻击。

具体来说有以下几点：

• 如果你的账户被黑，里面包含的信息足够让窃贼不仅窃取你的资金，还能窃取你的身份。根据你的净资产与你在交易所存放的金额，你的 KYC 信息可能远比你的资金更有价值。一旦黑客获得访问你账户的权限，所有这些信息通常都可以直接从设置菜单中下载，通常位于隐私设置下。

• 如果交易平台被黑，客户数据是越来越受攻击的目标。交易平台一旦丢失客户资金就会立即面临法律、声誉和财务上的灭顶之灾，但客户数据则不然。我还没有见过任何因黑客攻击而丢失数据的企业直接给客户提供赔偿。

• 如果交易所分享了你的数据，你的数据最终可能流向何处的可能性是无限的。这一点是最让人担忧的，因为交易所确实会把你的数据提供给分析公司、其他金融机构和政府机构。现在大多数交易所都将整个 KYC 过程外包给第三方。例如，这家公司声称存储了超过 1000 个平台的 KYC 数据。（ 我甚至不知道有 1000 个加密货币平台。）

一旦这些第三方拥有了你的数据，你就完全失去了对它的控制，并在数据遭到泄露时放弃了任何追索权。

而且这些数据肯定会被泄露，只是时间问题。

黑客攻击

BlockFi 第四次发邮件通知我我的数据被黑了。

在 8 月 24 日（就在第一封电子邮件发出的七天后），我收到了来自 BlockFi 的电子邮件，称 他们用于 KYC 的供应商遭受了数据泄露，未经授权的第三方获取了大量客户数据。

这真是让人哭笑不得。

从时机上看，我认为攻击者可能已经进入了相关系统。

他们可能只是在等待 BlockFi 开放提款，并迫使数万人提交他们的数据。然后出击。

这些通常是经验老道的黑客。

最后的想法

事后回想，如果我知道我的数据会立即被泄露，我还会提交吗？

实际上，是的。 我的 KYC 数据已经多次被黑 。如果不是这样，也许我会有不同的考量， 但现状是我已经不再在乎了。

但是，对于那些生物识别数据和官方 ID 还没有被多次在暗网上收集、买卖的人来说，了解提交 KYC 是一个极其危险的行为非常重要。

充其量，这大大增加了你的身份被盗的风险。最糟糕的是，它是用于大规模财务监控的工具。所有三字母的机构都有后门，并且以你可能永远不会同意的疯狂方式使用这些数据。

底线是：你的数据只有在从未被收集的情况下才是安全的。

所以下次你盯着这些表格时，要意识到被要求的信息有多么重要，相信你的直觉，如果回报不够大，就走开。