Утечка данных: что на самом деле собирают KYC-платформы

6 мая 2026 г.

Когда ты проходишь KYC на криптобирже, ты отправляешь не просто фото паспорта. Полный KYC-профиль может содержать достаточно данных, чтобы точно связать твою ончейн-активность с реальной личностью: именем, адресом, документами, лицом, телефоном, банковскими реквизитами и историей переводов.

Где это хранится? Кто получает доступ? Что происходит при утечке? Разберём по слоям.

Какие данные платформы обязаны собирать по KYC

Регулируемые поставщики услуг виртуальных активов (VASP) обычно обязаны внедрять CIP — программу идентификации клиентов. В базовый набор входят:

  • имя и фамилия;
  • дата рождения;
  • адрес;
  • идентификационный номер: паспорт, ID-карта, налоговый номер или аналогичный документ.

В ЕС регулирование MiCA и связанные нормы могут требовать от платформ усиленной проверки клиентов с повышенным риском — EDD. Это может включать сведения об источнике средств, цели операций и, при необходимости, более подробную финансовую информацию.

Рамки регулирования криптоактивов ESMA также предусматривают хранение записей об идентификации клиентов минимум пять лет. В отдельных юрисдикциях срок может быть дольше.

Иными словами, данные, которые ты отправил при KYC, могут храниться годами даже после закрытия аккаунта — потому что платформа обязана сохранять часть архивов для комплаенса.

Что обычно входит в KYC-набор данных

Состав зависит от биржи и уровня верификации, но типичный KYC-профиль включает несколько слоёв.

Базовый уровень, Tier 1

  • полное имя, как в государственном документе;
  • дата рождения;
  • гражданство;
  • email;
  • номер телефона.

Уровень проверки личности, Tier 2

  • фото паспорта или ID-карты с лицевой стороны;
  • фото обратной стороны документа, если применимо;
  • селфи с документом в руках;
  • видео для liveness-проверки, если платформа требует;
  • биометрические данные лица, извлечённые из фото или видео.

Подтверждение адреса, Tier 2–3

  • адрес проживания вплоть до улицы и дома;
  • подтверждающие документы: счёт за коммунальные услуги, банковская выписка, письмо от госоргана и т.п.

Финансовая информация, Tier 3 или клиенты с повышенным риском

  • описание источника средств;
  • профессия и данные работодателя;
  • ожидаемый объём и цель операций;
  • банковские реквизиты, если платформа их запрашивает;
  • налоговый идентификационный номер.

Привязка к ончейн-активности

  • история адресов для пополнения;
  • адреса вывода средств;
  • данные кластеризации кошельков, которыми платформа может делиться с ончейн-аналитическими сервисами.

Биометрия — самый чувствительный слой

Данные распознавания лица — одна из самых рискованных категорий KYC-информации. Пароль можно сменить, SIM-карту — заменить, email — отвязать. Но лицо ты не поменяешь.

Многие платформы передают обработку биометрии сторонним KYC-провайдерам, например Jumio, Onfido, Sumsub и другим. Это значит, что твои биометрические данные могут фактически храниться не только у биржи, но и в базе внешнего подрядчика.

У таких подрядчиков могут быть свои стандарты безопасности, сроки хранения и внутренние процессы. Обычный пользователь почти никогда не видит договоры между биржей и KYC-провайдером и не может проверить, как именно устроено хранение.

Как платформы используют эти данные

Заявленные комплаенс-цели

Обычно это описано в политике конфиденциальности:

  • мониторинг транзакций и AML-проверки;
  • ответы на запросы регуляторов, повестки и официальные требования;
  • сверка с санкционными списками, включая OFAC, ООН и другие;
  • риск-скоринг и распределение аккаунтов по уровням.

Вторичное использование, которое сложнее заметить

Некоторые сценарии могут быть разрешены политикой платформы, но пользователь редко отслеживает их на практике:

  • передача данных сторонним аналитическим компаниям под формулировкой «улучшение сервиса»;
  • маркетинг и рекламный таргетинг, если это допускается документами платформы;
  • анализ и кластеризация ончейн-адресов, чтобы связать кошельки одного пользователя между собой.

Регламент ЕС о переводе средств, известный как TFR, также требует в определённых случаях передавать информацию об отправителе и получателе между платформами. На практике это означает, что часть твоих KYC-данных может «путешествовать» вместе с переводом между организациями.

Реальный риск утечки данных

Исследования Chainalysis по атакам в крипте показывают, что социальная инженерия против пользователей бирж часто опирается на реальные персональные данные цели. KYC-базы — один из самых концентрированных источников такой информации.

OWASP в материалах о фишинге также отмечает: эффективные атаки часто используют имя жертвы, фрагменты истории операций, данные аккаунта или другие детали, которые делают сообщение правдоподобным. Такие детали нередко появляются после утечек.

Если KYC-база биржи скомпрометирована, злоумышленник получает почти всё, что нужно для точечного фишинга:

  • реальное имя;
  • адрес;
  • номер документа;
  • телефон и email;
  • сведения о криптоактивности;
  • иногда — фото документов и биометрию.

В истории крипторынка уже были крупные утечки данных пользователей бирж, включая имена, адреса и номера документов. Главная проблема в том, что такие данные после попадания в даркнет практически невозможно «отозвать». Это не пароль, который можно просто сбросить.

Чем отличается self-custody без KYC

При использовании кошелька OneKey для self-custody тебе не нужно отправлять документы, селфи или адрес проживания. Генерация кошелька и управление приватными ключами происходят локально, а открытый код OneKey позволяет проверять этот подход независимо.

Если ты торгуешь через ончейн-протоколы и используешь OneKey Perps как практичный рабочий процесс для бессрочников, на стороне кошелька не требуется KYC. Видимым остаётся ончейн-адрес и его активность, но не паспорт, не селфи и не домашний адрес.

Важно понимать разницу: ончейн — это не полная анонимность. Адреса псевдонимны, а история транзакций публична. Но без привязки к KYC-платформе такой адрес не содержит твоих документов и биометрии.

Как оценить свой текущий KYC-риск

Начни с простого списка: на скольких платформах ты проходил KYC? Каждая такая платформа — отдельная точка потенциальной утечки.

Дальше проверь по каждой из них:

  • срок хранения данных;
  • условия передачи третьим лицам;
  • какие KYC-провайдеры используются;
  • можно ли запросить удаление данных;
  • какие права есть у тебя как субъекта данных.

В ЕС, где применяется GDPR, пользователь может запросить удаление данных, включая право на «забвение». Но AML-обязательства часто позволяют платформе хранить часть ключевых KYC-записей до истечения установленного законом срока.

Если ты больше не пользуешься платформой, разумный шаг — официально закрыть аккаунт, запросить удаление персональных данных и сохранить подтверждение от поддержки.

Как снизить риск на практике

Полностью отменить уже пройденный KYC нельзя, но можно уменьшить дальнейшую экспозицию:

  • закрой аккаунты на платформах, которыми больше не пользуешься;
  • запроси удаление персональных данных там, где это возможно;
  • используй уникальный сильный пароль для каждой биржи;
  • включи аппаратный ключ безопасности для 2FA вместо SMS, если платформа поддерживает;
  • регулярно проверяй уведомления об утечках, например через haveibeenpwned.com;
  • не смешивай адреса, связанные с KYC-биржами, с адресами для self-custody;
  • для будущих операций по возможности переходи на self-custody и ончейн-инструменты без передачи документов.

Для бессрочников можно попробовать более приватный рабочий процесс: установить OneKey, создать или подключить self-custody-кошелёк и использовать OneKey Perps для торговли через ончейн-инфраструктуру. Это не убирает рыночные риски, ликвидации и риски смарт-контрактов, но помогает не раздавать KYC-данные каждой новой торговой площадке.

FAQ

Q1: Можно ли потребовать удалить KYC-данные после прохождения верификации?

В юрисдикциях, где действует GDPR, ты можешь подать запрос на удаление данных. Но платформа обычно сохраняет часть ключевых KYC-записей из-за AML-обязательств, часто на срок около пяти лет или дольше, если так требует местное право. Даже после закрытия аккаунта документы и история операций могут храниться до истечения законного срока.

Q2: Кто контролирует безопасность сторонних KYC-провайдеров?

Обычно такие провайдеры подчиняются законам о защите данных в стране регистрации, например GDPR в ЕС, и могут иметь сертификаты информационной безопасности вроде ISO 27001. Но пользователь редко может напрямую проверить реальный уровень защиты. Сертификат — это минимальный стандарт, а не гарантия нулевого риска.

Q3: Что будет, если утекут биометрические данные?

Биометрия отличается от пароля: её нельзя просто заменить. Утёкшие данные лица могут использоваться для попыток обхода проверок на других платформах или в комбинации с другими персональными данными для более сложного мошенничества и кражи личности.

Q4: Ончейн-транзакции правда не хранят личные данные?

Сама блокчейн-транзакция не требует паспорта или имени. Адрес — псевдонимный, но не анонимный. Если ты когда-либо пополнял или выводил средства с KYC-биржи на конкретный адрес, этот адрес может быть связан с твоей реальной личностью. Разделение адресов, связанных с KYC, и адресов для self-custody — базовая практика приватности.

Q5: Как быстрее всего уменьшить KYC-риск?

Приоритеты такие: закрыть неиспользуемые аккаунты, запросить удаление данных, усилить безопасность оставшихся аккаунтов, включить не-SMS 2FA, не переиспользовать адреса и постепенно переносить будущую активность в self-custody. Для торговли бессрочниками можно рассмотреть OneKey Perps как более аккуратный ончейн-процесс без отправки новых KYC-документов.

Вывод: понимай, что именно ты отдаёшь

KYC — это не просто галочка при регистрации. Это долгосрочная привязка твоей реальной личности к цифровым активам и торговой истории. Прежде чем отправлять документы очередной платформе, стоит понимать, какие данные ты передаёшь, кто может их хранить и что произойдёт при утечке.

Если ты хочешь уменьшить такую привязку в будущем, начни с self-custody: скачай OneKey, создай кошелёк без передачи документов и держи ключи под своим контролем. А если торгуешь перпами, попробуй OneKey Perps как практичный способ работать с ончейн-бессрочниками без лишнего KYC.

Риск-предупреждение: материал носит информационный характер и не является юридической, комплаенс- или финансовой рекомендацией. Требования KYC и законы о защите данных различаются по странам. Ориентируйся на правила своей юрисдикции и при необходимости консультируйся с профильным специалистом.

Защитите свое криптопутешествие с OneKey

View details for Магазин OneKeyМагазин OneKey

Магазин OneKey

Самый продвинутый аппаратный кошелек в мире.

View details for Загрузить приложениеЗагрузить приложение

Загрузить приложение

Предупреждения о мошенничестве. Поддержка всех монет.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Ясность в криптовалюте — на расстоянии одного звонка.