7 millions d'e-mails divulgués par OpenSea ont été entièrement rendus publics : rapport

La faille de sécurité qui a secoué OpenSea en 2022 a pris une nouvelle tournure puisque plus de sept millions d'adresses e-mail sont désormais accessibles au public, selon le responsable de la sécurité de l'information de SlowMist, connu sous le nom de «23 livres." Cette violation, initialement signalée en juin 2022, impliquait une fuite d'adresses e-mail d'utilisateurs du fournisseur de messagerie d'OpenSea, Customer(.)io.

La brèche d'OpenSea : une chronologie de la vulnérabilité

En juin 2022, OpenSea était au sommet de son succès, avec plus de 120 millions de visiteurs mensuels et se classant parmi les 400 premiers sites web mondiaux. À cette époque, un employé de Customer(.)io, fournisseur d'automatisation des e-mails, Exploités leur accès pour extraire et partager les adresses e-mail de la base de données des utilisateurs d'OpenSea avec un tiers non autorisé. 

La fuite visait principalement la base d'utilisateurs de la plateforme, mais a également compromis des personnalités importantes du secteur des crypto-monnaies, notamment le PDG de Binance, Changpeng Zhao, des entreprises de premier plan et des influenceurs du secteur.

La fuite est désormais entièrement médiatisée

L'expert en cybersécurité 23pds a confirmé sur X (anciennement Twitter) que les adresses e-mail, notamment celles de leaders du secteur, d'influenceurs et de traders, sont désormais largement accessibles. Compte tenu de leur visibilité, ces individus constituent des cibles privilégiées pour les attaques d'hameçonnage, susceptibles de causer de graves dommages financiers et de nuire à leur réputation. 

Cette divulgation de données amplifie le risque pour les personnes déjà touchées, les rendant vulnérables aux escroqueries par phishing et à d'autres activités malveillantes. 23pds a souligné que ces adresses e-mail pourraient désormais être utilisées par de mauvais acteurs pour créer des attaques de phishing convaincantes.

Les escroqueries par hameçonnage (phishing) constituent déjà l'une des menaces de sécurité les plus importantes dans le secteur des cryptomonnaies. Les données compromises permettent aux escrocs d'envoyer plus facilement des e-mails trompeurs ressemblant à des communications légitimes provenant d'entités de confiance comme OpenSea. Ces e-mails incitent souvent les utilisateurs à cliquer sur des liens malveillants, ce qui leur permet de voler leurs identifiants de connexion, leurs actifs numériques, voire leurs informations personnelles.

Recommandations pour les utilisateurs concernés

L'expert en sécurité de SlowMist a conseillé à tous les utilisateurs dont les adresses e-mail ont été compromises de prendre des précautions immédiates. Il s'agit notamment de créer des mots de passe forts et uniques pour leurs comptes et d'utiliser un gestionnaire de mots de passe pour les stocker en toute sécurité. L'utilisation de l'authentification à deux facteurs (2FA) est également fortement recommandée, et il est conseillé de privilégier les applications d'authentification à la 2FA par SMS en raison de leur sécurité accrue.

Auparavant, OpenSea avait également renforcé ces mesures de sécurité, rappelant aux utilisateurs d'être prudents avec les e-mails qui semblent provenir de domaines OpenSea non officiels tels que « opensae(.)io », « opensea(.)org » ou « opensea(.)xyz ».

Un signal d'alarme pour la sécurité des cryptomonnaies

Les attaques de phishing, résultant de telles violations, sont devenues un problème majeur, avec plus d'un milliard de dollars de pertes en actifs numériques dues à ces escroqueries rien qu'en 1. Selon CertiK, plus de 2024 violations ont eu lieu au premier semestre 250, affectant des plateformes majeures telles que Binance, Crypto.com et eToro.

Cette faille met également en évidence les vulnérabilités des services tiers utilisés par les plateformes cryptographiques. Dans le cas d'OpenSea, Customer().io, un partenaire de confiance pour l'automatisation des e-mails, était à l'origine de cette fuite, soulignant la nécessité de renforcer les mesures de sécurité à tous les niveaux de l'infrastructure d'une plateforme, notamment pour les données utilisateurs sensibles.

Découvrez des projets prometteurs...

Des projets prometteurs...

(Publicité)

L'article continue...

Cela s'ajoute à une liste croissante d'incidents très médiatisés, tels que la violation de données de Ledger en 2020, qui a exposé les données personnelles de plus de 270,000 XNUMX utilisateurs.