Les places de marchés Lyxxe et Hubdex semblent avoir rendu accessibles au public toute une série d’informations privées.
Un rapport publié par CyberNews, une publication indépendante de recherche sur la cybersécurité, met en garde les amateurs de crypto-monnaies contre les dangers de faire des transactions sur des crypto-bourses ou des places de marchés peu sûres. Le rapport indique qu’au moins 18 millions de dollars en crypto-monnaies ont été exposés au vol en raison d’une cybersécurité insuffisante.
CyberNews a révélé deux plateformes d’échanges dont la sécurité est « dangereusement peu sûre » : les places de marché Lykke et Hubdex.
Lykke, originaire de Suisse, a révélé leurs clés API dans une base de données accessible au public. Les clés API peuvent être utilisées pour accéder directement à une crypto-bourse afin d’effectuer des transactions. La mise en place de ce système a laissé une grande marge de manœuvre aux acteurs malveillants pour transférer des crypto-devises sur leurs propres comptes ou interférer avec les transactions effectuées entre utilisateurs.
De plus, on a découvert que Lykke avait également exposé les clés privées de ses clients. Ces dernières fonctionnent comme des mots de passe pour les crypto-portefeuilles. Ainsi, la sécurité compromise de Lykke donnait accès à toute personne qui semblait être au bon endroit au bon moment la possibilité de dépenser, trader ou transférer les crypto-monnaies d’un autre utilisateur sans qu’il ne le sache ou y consente.
Même si certains clients ont trouvé une certaine utilité aux portefeuilles à multi-signatures, qui nécessitent au moins deux autorisations avant que les fonds ne soient mis à disposition, la base de données exposée de Lykke a également enregistré les redeem scripts et les clés privées de ces portefeuilles – deux éléments qui permettent à des pirates n’ayant que des compétences techniques modestes de voler les crypto-monnaies.
CyberNews a rapporté que la connaissance de ces informations « permettait un accès direct aux fonds des utilisateurs, c’est-à-dire la pleine capacité de voler ces fonds ou de manipuler des données ».
Lykke a immédiatement réagi à ce rapport en rendant la base de données publique privée et en contactant les clients concernés. La place de marché a expliqué que la base de données n’était « disponible qu’en lecture seule ».
Ils ont assuré à CyberNews qu’« aucune donnée personnelle n’a été exposée et qu’aucun fonds n’a été perdu » – et qu’ils prenaient des mesures supplémentaires pour éviter que de telles situations ne se reproduisent à l’avenir.
La place de marché chinoise, Hubdex, a également été mis sur la sellette pour avoir laissé 1,1 million de clés privées exposées sur une base de données accessible au public. La possibilité de changer les mots de passe était également disponible, ce qui permettait à toute personne malveillante de se connecter aux comptes de son choix.
De plus, la plateforme d’échange a laissé les clés API et les clés de portefeuille à signatures multiples accessibles au public, ce qui a donné aux cyber-pirates diverses façons d’exploiter ces données.
Une autre préoccupation est l’étendue des données personnelles que Hubdex a laissé exposées. Comme les plateformes d’échange de crypto-monnaies sont obligées de collecter des données personnelles sur leurs clients via la procédure de « know your customer » (KYC) dans le cadre de la réglementation visant à empêcher la mauvaise utilisation des biens numériques, les identités officielles, les noms et adresses des utilisateurs étaient facilement accessibles au public.
La base de données a été mise hors ligne après que CyberNews ait contacté l’équipe technique d’intervention d’urgence du réseau informatique national chinois (CERT – National Computer Network Emergency Response Technical Team), après que les tentatives de contact avec la place de marché elle-même aient échoué.
Avec plus de 19 000 places de marché de crypto-monnaies disponibles dans le monde, il y a une préoccupation pressante pour une meilleure sécurité et des réglementations autour de la gestion de la base de données des places de marché des crypto-monnaies.
Traduction par Carolane de Palmas