Opensea – Victime d’une fuite de données de ses utilisateurs

30 juin 2022 - 09:00

Temps de lecture : 3 minutes

Par Hugh B.

Malgré ses exigences de sécurité et d’anonymat, le secteur des cryptomonnaies n’échappe pas aux fuites de données privées. Ces informations personnelles en apparence sans valeur, mais dont le prix peut rapidement s’envoler sur le darkweb. En particulier lorsqu’il s’agit d’adresses e-mail ou d’informations spécifiques en relation à des domaines financiers comme celui des NFTs. Car elles permettent ensuite de lancer des opérations de phishing à l’encontre des utilisateurs concernés. Et de récolter les précieux jetons en se faisant passer pour une plateforme légitime. Un « incident de sécurité » que vient de signaler le leader actuel Opensea, aujourd’hui même.

Le secteur des NFTs excite tout autant les investisseurs que les arnaqueurs en embuscades numériques. Car une récente étude affirmait il y a peu que plus de 90% de leurs détenteurs avaient déjà été victimes d’une escroquerie dans le domaine. Un chiffre alarmant, probablement à mettre en parallèle avec la forte adoption de cette technologie en dehors de la zone crypto. Tout cela agrémenté du risque de perdre définitivement ces précieux objets de collection numériques d’un simple clic malheureux sur un lien inapproprié… et prévu à cet effet.

NFT, Metaverse et Web3

NFT vs phishing - Comment identifier et éviter les arnaques potentielles ?

Hugh B. - 07 Juin 2022 - 15:00

Les détenteurs de NFTs sont devenus les cibles privilégiées d’arnaques [...]

Lire la suite >>

En effet, les techniques déployées pour dérober ces NFTs sont nombreuses et souvent très bien rodées. Avec le risque de ne plus pouvoir les récupérer, car la marche arrière n’est pas une option inscrite dans la technologie blockchain. Une situation qu’a récemment rencontrée l’acteur Seth Green, finalement obligé de racheter son NFT des Bored Ape Yacht Club (BAYC) volé suite à une opération de phishing. Et autant dire que les choses ne vont pas se calmer prochainement pour les utilisateurs de la plateforme Opensea. Car cette dernière vient de signaler un « incident de sécurité » des plus fâcheux.

Opensea – Victime d’un « incident de sécurité »

La faille de sécurité a visiblement été découverte tout récemment. Car la plateforme Opensea vient de la révéler dans un article de blog publié il y a tout juste quelques heures. Mais cela ne permet pas de savoir depuis combien de temps cette hémorragie des données privées de ses utilisateurs se poursuivait. Cette dernière à l’initiative d’un employé de la société Customer.io en charge de la gestion des « livraisons d’email. » Avec comme conséquence, le partage de ces informations sensibles « avec une partie externe non autorisée ».

« Nous avons récemment appris qu’un employé de Customer.io, notre fournisseur de livraison d’e-mails, avait abusé de son accès employé. Cela afin de télécharger et partager des adresses – fournies par les utilisateurs d’OpenSea et les abonnés à notre newsletter – avec une partie externe non autorisée. Si vous avez partagé votre e-mail avec OpenSea dans le passé, vous devez supposer que vous avez été impacté.« 

Opensea

Une situation qui fait ressurgir le spectre d’affaires malheureusement emblématiques, comme les failles de sécurité qui ont frappé la société Ledger ou ses partenaires entre 2020 et 2021. Cela au point de déclencher des risques tout à fait réels, allant parfois jusqu’à engager la sécurité physique des utilisateurs concernés. Mais cette fois les choses semblent moins graves, puisque l’avertissement émis par Opensea concerne uniquement des risques de phishing. L’hygiène numérique – encore plus que d’habitude – est donc de rigueur !

Cryptomonnaies

Scandale Ledger (suite) - La "sécurité physique" des utilisateurs est engagée

Hugh B. - 22 Déc 2020 - 11:27

Les récentes informations au sujet de la fuite de données de la société [...]

Lire la suite >>

Opensea – Une « probabilité accrue de phishing »

Selon les déclarations de la plateforme Opensea, une enquête est en cours. Cela afin de déterminer les origines exactes et conséquences possibles de cette affaire. Mais quoi qu’il arrive, c’est bien la vigilance de ses utilisateurs qui pourra faire la différence. Raison pour laquelle elle exhorte ces derniers à opérer une gestion sécurisée de leurs « pratiques de messagerie » en restant attentifs à « toute tentative d’usurpation de l’identité d’OpenSea par e-mail. » Car le risque est bien là : penser répondre à un message officiel et cliquer sur un lien qui redirige vers un site miroir, construit à l’identique d’Opensea… mais sans être Opensea.

« Veuillez noter que des acteurs malveillants peuvent essayer de vous contacter en utilisant une adresse e-mail qui ressemble visuellement à notre domaine de messagerie officiel, « opensea.io » (comme « opensea.org » ou une autre variante).« 

Opensea

La plateforme Opensea donne donc quelques conseils de base afin d’échapper à cette vague de phishing très probable. Comme par exemple le fait que seul le nom de domaine de messagerie « @opensea.io » est utilisé officiellement à des fins de communication. Mais également que ses e-mails ne contiennent jamais de fichiers joints. Ni même de liens de téléchargement sur lesquels il serait nécessaire de cliquer. D’ailleurs, tous les liens doivent apparaitre avec le nom de domaine « opensea.io » correctement orthographié. « Car il est courant que des acteurs malveillants usurpent l’identité d’URL en mélangeant les lettres. » Et enfin, il ne faut JAMAIS partager ou confirmer un mot de passe ou une phrase secrète de portefeuille. Ni même signer une transaction avec MetaMask provenant d’un lien envoyé par e-mail, car cela n’arrive jamais.

Cryptomonnaies

Hacking - Un pirate vole les données clients d'importantes sociétés crypto

Hugh B. - 22 Mars 2022 - 15:00

La sécurité n’est pas un vain mot dans l’univers du numérique. [...]

Lire la suite >>

Des conseils qui doivent s’appliquer en toutes situations, même en dehors des messages reçus de la part d’Opensea. Avec comme principe de base de ne jamais cliquer sur un lien contenu dans un e-mail. Et de préférer se rendre directement sur le site officiel concerné pour en vérifier l’authenticité. Et dans le cas présent, de bien penser à signaler « toute communication suspecte qui semble provenir d’OpenSea sur support.opensea.io. » Mais n’attendez pas de réponse, son « service » client est un puits sans fond…

Recevez le top 3 de l'actualité crypto chaque dimanche