La plus grosse plateforme d’achat et de revente de NFT a subi, dans la journée d’hier, une violation de données massive… Ainsi, de nombreuses informations personnelles des utilisateurs d’Opensea ont fuitées, mettant à mal la sécurité de leurs NFT.
Opensea annonce la menace qui pèse sur les NFT de la plateforme
Ce mercredi 29 juin, la célèbre marketplace Opensea a annoncé être victime d’une violation de donnée d’envergure.
La cause de la fuite de données serait due à leur fournisseur de messagerie automatisée customer.io. Un employé de cette même entreprise aurait utilisé ses droits d’accès à une table de la base de données d’Opensea pour exploiter et partager les adresses électroniques des utilisateurs de la plateforme de NFT.
« Nous avons récemment appris qu'un employé de Customer.io, notre fournisseur de livraison d'e-mails, avait abusé de son accès employé pour télécharger et partager des adresses e-mail - fournies par les utilisateurs d'OpenSea et les abonnés à notre newsletter - avec une partie externe non autorisée. Si vous avez partagé votre e-mail avec OpenSea dans le passé, vous devez supposer que vous avez été impacté. Nous travaillons avec Customer.io dans leur enquête en cours, et nous avons signalé cet incident aux forces de l'ordre. » a déclaré Opensea dans un communiqué.
Ce n’est pas la première fois qu'Opensea est victime de ce genre d’attaques…
En février 2022, un certain hacker avait trouvé une faille directement sur des contrats ethereum afin de dérober pas moins de 25 NFT, pour une valeur totale de 1,2 millions d’euros.
Ici, la fuite d’adresse e-mail n’a pas d’incidence directe sur les NFT des clients de la plateforme puisque les jetons non fongibles sont toujours stockés sur des portefeuilles externes à Opensea. Néanmoins, ces adresses électroniques pourraient s’avérer être efficace pour les hackeurs voulant procéder à un phishing de masse…
Les NFT de la plateforme en proie à de potentiel phishing
En cybersécurité, certains considèrent que l’humain est la principale faille, a raison, puisque les victimes de phishing sont en hausse chaque années… En 2021, selon la plateforme de cybersécurité Teiss, 94 % des cyber-attaques commence par un simple mail.
Dans le cas d'Opensea, le vol des adresses e-mail permettrait à des hackeurs d’envoyer une multitude mails aux adresses électroniques récoltés en se faisant pour la plateforme.
« Veuillez rester vigilant quant à vos pratiques de messagerie et soyez attentif à toute tentative d'usurpation de l'identité d'OpenSea par e-mail » indique Opensea dans un communiqué.
Si le phishing fait mouche, cela leur permettrait d’avoir accès à des informations plus sensibles, comme les identifiants d’un portefeuille crypto. Dans cette perspective, on peut imaginer que certains NFT de la plateforme opensea risque d’être volés à la suite de cette fuite de données.
Dans l’objectif de préservé leurs utilisateurs d’éventuel dommage supplémentaire, la plateforme Opensea en a profité pour rappeler des mesures de sécurité élémentaires sur Internet. Des points assez évidents lorsqu’on stocke des NFT valant parfois le prix d’un appartement sur son portefeuille…