Polymarket weist Vorwürfe eines 300.000-Datenverstoßes zurück

• Der Bedrohungsakteur beansprucht über 300.000 Polymarket-Datensätze, die mithilfe von API-Fehlern und Exploits extrahiert wurden.
• Polymarket bestreitet die Sicherheitsverletzung und sagt, alle referenzierten Daten seien öffentlich über APIs und On-Chain zugänglich.
• Der Streit verdeutlicht die Spannungen zwischen Datenscraping-Claims und dem dezentralen Transparenzmodell.

Dark Web Informer, ein Cybercrime-Beobachter bei X, hob eine große Datenpanne bei Polymarket hervor. Er behauptet, dass über 300.000 Datensätze mithilfe von API-Schwächen extrahiert wurden. Unterdessen hat Polymarket die Behauptung zurückgewiesen und erklärt, die Daten seien öffentlich zugänglich.

Angebliche Datenlecks und Exploit-Details

Ein Cyberbedrohungsakteur namens „xorcat“ hat eine groß angelegte Datenentnahme mit Polymarket behauptet. Die Behauptung tauchte in einem Cybercrime-Forum auf und wurde von Dark Web Informer auf X verstärkt .

Laut dem Beitrag veröffentlichte der Akteur einen Datensatz mit mehr als 300.000 Datensätzen, zusammen mit einem Exploit-Kit und technischer Dokumentation. Der Datensatz umfasst eine breite Palette von Plattformdaten. Dazu gehören etwa 10.000 Benutzerprofile mit Details wie Namen, Pseudonymen, Bios, Profilbildern und wallet-verknüpften Adressen.

Die Pressemitteilung listet außerdem über 250.000 aktive Marktdatensätze, 48.000 Gamma-Märkte und Tausende von Kommentaren auf, die mit Benutzerkonten verknüpft sind.

Weitere Datensätze umfassen Followerprofile, interne Benutzerkennungen und Berichte, die mit Ethereum-Adressen verknüpft sind. Die Gesamtgröße des Datensatzes wurde in extrahierter Form mit etwa 750 MB angegeben. Eine komprimierte Version von etwa 8,3 MB wurde ebenfalls geteilt.

Genannten Methoden und Schwachstellen

Bemerkenswert ist, dass der Akteur behauptet, die Daten seien durch mehrere technische Schwächen gewonnen worden. Dazu gehören nicht dokumentierte API-Endpunkte, Paginierungsumgehung und eine Fehlkonfiguration des Ressourcenaustauschs über verschiedene Quellen.

Der Beitrag erwähnte außerdem mehrere Schwachstellen, darunter eine Umgehung der Authentifizierung in Next.js Middleware und ein serverseitiges Problem mit Request-Fälschungen im Zusammenhang mit Axios.

Proof-of-Concept-Exploits wurden in der Veröffentlichung enthalten. Das Paket enthält außerdem ein automatisiertes Skript, das kontinuierlich frische Daten von der Plattform extrahiert. Laut dem Akteur waren einige Endpunkte ohne Authentifizierung zugänglich und konnten wiederholt ohne Ratenbegrenzung abgefragt werden.

Der Beitrag behauptet außerdem, dass bestimmte Endpunkte vollständige Benutzerprofile, soziale Verbindungen und Aktivitätsprotokolle offengelegt haben. Diese Behauptungen wurden nicht unabhängig bestätigt.

Polymarket bestreitet jeglichen Verstoß

Polymarket hat die Behauptungen jedoch zurückgewiesen und die Charakterisierung des Vorfalls bestreitet. In seiner Antwort erklärte das Unternehmen, dass keine privaten Daten geleakt oder kompromittiert wurden. Sie erklärte, dass alle referenzierten Informationen bereits über ihre APIs und blockchain-basierten Systeme öffentlich zugänglich sind.

Die Plattform betonte, dass Transparenz ein zentrales Merkmal dezentraler Infrastruktur ist. Sie argumentierte, dass die betreffenden Daten frei zugänglich seien, ohne geschützte Systeme auszunutzen. Das Unternehmen bezeichnete die Behauptungen als eine Fehldarstellung der Funktionsweise seiner Plattform.

Polymarket ging auch auf die Behauptungen ein, dass es kein Bug-Bounty-Programm habe. Es bestätigte, dass es ein aktives Programm mit Prämien von bis zu 5 Millionen Dollar für wichtige Erkenntnisse betreibt. Das Unternehmen stellte klar, dass der Zugriff auf öffentliche Endpunkte nach seinen Regeln nicht als Schwachstelle gilt.

Verwandt: Wie KI-Krypto-Betrüger die Ersparnisse von 300.000 $ eines Rentners verbrauchten