Vendredi dernier, 23 000 adresses mails d'utilisateurs de la plateforme BitMEX ont été accidentellement divulguées dans un message envoyé à une grande partie des utilisateurs. Selon BitMEX, le problème est aujourd'hui résolu et l'exchange a publié dans un communiqué les raisons de la fuite, tout en prodiguant des conseils à ceux dont les adresses mails ont été révélées.

 

D'importants risques pour les utilisateurs

Dans son message, le chef des opérations de BitMEX, Vivien Khoo, s'est à nouveau excusé :

Nous tenons à nous excuser sans réserve pour l'inquiétude que cela a suscitée. Vous trouverez ci-dessous de plus amples renseignements sur ce qui s'est passé, sur la façon dont nous pouvons vous aider et sur certaines mesures que vous pouvez prendre pour améliorer votre protection.

Malgré cette garantie, les utilisateurs craignent toujours que des personnes malveillantes utilisent les adresses mails pour lancer une attaque de phishing à grande échelle. En faisant le lien avec les adresses mails qui ont fuité et des bases de données que les hackers s'échangent, un hacker éthique - white hat - du nom de TheCrypt0Mask a réussi à trouver les mots de passe de certains utilisateurs de la plateforme et a publié ses avancées tout au long du week-end dernier.

Grâce à sa bienveillance, les utilisateurs concernés ont été avertis et ont eux la possibilité de prendre les mesures nécessaires avant qu'une quelconque personne mal intentionnée mette elle aussi la main sur les mots de passe.

 

Que s'est-il réellement passé ? 

D'après BitMEX, les envois en nombre à l'échelle mondiale comme celui du 1er novembre sont une opération difficile et complexe. BitMEX n'a pas envoyé de mail à tous ses clients en une seule fois depuis 2017, et beaucoup de choses ont changé depuis lors, surtout la quantité d'adresses présente dans la base de données de l'exchange, le communiqué précise :

Lorsque nous avons commencé l'envoi, il est devenu évident qu'il faudrait plus de 10 heures pour le faire, et l'équipe voulait s'assurer que les utilisateurs reçoivent les mêmes renseignements importants dans un délai plus raisonnable.

Pour répondre à cette problématique, l'outil a été rapidement réécrit pour envoyer des appels de l'API de SendGrid - une plateforme de communication destinée aux envoies de mails à grande échelle - par lots de 1 000 adresses. Malheureusement, en raison des contraintes de temps, cela n'a pas été soumis à notre processus normal d'assurance qualité. BitMEX explique :

Il n'a pas été immédiatement compris que l'appel de l'API créerait un champ "To :" littéralement concaténé, laissant échapper les adresses mails des clients. Dès que nous en avons eu connaissance, nous avons immédiatement empêché l'envoi d'autres mails et nous nous sommes attaqués à la cause sous-jacente du problème.

BitMEX a exprimé sa déception face à son manque de soin qui a conduit à la divulgation des informations de ses clients. L'exchange ne remet pas cependant en doute les capacités techniques de ses ingénieurs :

Nous croyons que ce sont les processus, et non les ingénieurs, qui sont responsables de ces échecs. Nos processus ont échoué et nous travaillons 24 heures sur 24 pour les remanier et pour nous assurer que même les modifications les plus simples sont soumises à un examen rigoureux.

L'exchange conclu en affirmant qu'au-delà des adresses mails, aucune information personnelle ou de compte n'a été divulguée. Aucun des systèmes centraux n'a été à un moment soumis à un quelconque risque.

 

Comment se protéger face à un événement de ce type ?

Commencez par protéger la totalité des vos comptes sur les plateformes en utilisant des mots de passe forts et uniques, en activant l'authentification à doubles facteurs (2FA) et en utilisant un gestionnaire de mots de passe. Pour ce dernier, nous vous suggérons d'utiliser Dashlane, celui-ci vous permettra de regrouper vos mots de passe en un seul et même endroit de façon sécurisée.

L'un des principes les plus importants à ne pas oublier est de créer une nouvelle adresse mail pour chaque nouvelle plateforme sur laquelle vous vous inscrivez. Même si cela peut prendre un certain temps, ce simple geste peut vous prémunir d'une attaque groupée.

Lorsqu'une faille de ce jour à lieu, vérifiez bien que les informations publiées sur les réseaux sociaux proviennent bien des véritables comptes des plateformes et abonnez-vous en avance à ces différents comptes. De même lorsque vous recevez des mails, vérifiez que l'expéditeur fait parti du registre des adresses officielles utilisées par l'exchange.

Dans le cas de BitMEX, ces adresses sont les seules dont vous recevrez des mails : « support@bitmex.com » et « noreply@bitmex.com ». Ajoutez aussi les adresses officielles à vos contacts et n'oubliez jamais qu'une plateforme ne vous ne demandera jamais vos identifiants.

 

Même si dans ce contexte toutes les plateformes vont surement vérifier leurs systèmes et les mettre à jour, restez prudent et prenez les mesures nécessaires pour protéger vos comptes et vos fonds. La simple activation du l'authentification à doubles facteurs réduira drastiquement les probabilités que vos crypto-actifs puissent être retirés de vos comptes en cas qu'attaque. Afin d'en apprendre plus sur les potentielles arnaques du monde des cryptomonnaies et comment s'en prémunir, n'hésitez pas à consulter notre dossier sur le sujet.

 

Newsletter 🍞
Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Clément Wardzala

twitter-soothsayerdatatwitter-soothsayerdata

Rédacteur en chef de Cryptoast, je découvre le Bitcoin et la technologie blockchain en 2017. Depuis, je m'efforce de partager un contenu qualitatif pour que le secteur se démocratise auprès de tous.
Tous les articles de Clément Wardzala.

guest
0 Commentaires
Inline Feedbacks
View all comments