Bitget, Bybit, MoonPay, Bitpanda : des données personnelles de clients pourraient avoir fuité à cause de ce fournisseur de KYC

Un prestataire de KYC dévoile un incident de sécurité

Souvent critiquées pour la collecte de données qu'elles engendrent, les vérifications Know Your Customer (KYC) ne peuvent pas être effectuées par les plateformes crypto elles-mêmes, mais par des fournisseurs tiers. Non seulement cette contrainte légale déporte un risque sur lequel l'exchange n'a plus la maitrise, mais surtout, en cas de problème, plusieurs acteurs de l'écosystème peuvent être impactés s'ils partagent un même prestataire.

C'est ce qui a pu se passer dans le cas de Sumsub, un fournisseur de technologies de vérification KYC, qui a annoncé mercredi avoir été victime d'un incident de sécurité en juillet 2024, à la suite d'une pièce jointe malveillante envoyée « via une plateforme de gestion de tickets d'assistance tierce ».

🛡️ Comment sécuriser votre environnement numérique et financier ?

Ce qui inquiète, c'est que cette intrusion n'a été découverte qu'en janvier, à la suite d'un audit de sécurité. Toutefois, l'entreprise se veut rassurante dans son communiqué :

L'activité non autorisée s'est limitée à un environnement interne lié au support et n'a pas affecté les processus de vérification d'identité en production de Sumsub, ses API destinées aux clients ni ses systèmes de production principaux. Rien n'indique que l'auteur de la menace ait repris ses activités non autorisées après l'incident, et nous n'avons détecté aucun signe d'activité non autorisée en cours après juillet 2024.

Pourtant, dans un mail adressé à ses clients, l'exchange de cryptomonnaies Bitpanda a alerté sur le fait que certaines données personnelles « pourraient avoir été affectées », incluant :

• Les noms et prénoms complets ;
• L’adresse mail ;
• Le numéro de téléphone.

Sur son site Web, nous pouvons voir que Sumsub travaille aussi avec de nombreuses entreprises crypto connues, telles que MoonPay, Bitget, Wirex, Bingx, Bybit, MEXC ou bien Coinlist notamment.

Pour l’heure, la portée de cette fuite et le nombre de personnes impactées ne sont pas clairs, bien que l’entreprise affirme qu’aucune pièce d’identité, donnée biométrique ou information bancaire n’ont fuité.

👉 Dans l'actualité également — « On a ton père, c'est pour la crypto » – Le fils d'un otage séquestré en Isère témoigne en exclusivité

Le problème, c’est que les fuites de données sont devenues monnaies courantes, et chaque jour, nous avons de nouveaux exemples. Pour un acteur malveillant, il serait ainsi possible de se procurer différentes bases de données compromises liées à la cryptomonnaie pour créer une cartographie précise d’investisseurs fortunés, grâce à de nombreuses informations personnelles glanées depuis plusieurs sources. C’est un risque d’autant plus préoccupant, à l’heure où les agressions liées aux cryptomonnaies ont explosé en France depuis plus d’un an.

Même sans aller jusqu’à parler d’enlèvement, un numéro de téléphone peut être sujet à une attaque de SIM swap, tandis qu’une adresse mail peut être utilisée pour des tentatives de phishing en usurpant des services légitimes.

Source : Sumsub

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

2346 articles

Tous ses articles