NFT : Fuite de données chez Opensea, les utilisateurs en danger
Opensea dévoile des données clients – L’écosystème des NFT a enregistré une croissance sans précédent depuis le mois d’août 2021. La plateforme d’achat et de vente de NFT, Opensea a su profiter de cette croissance pour se placer en pole position. Cependant, une nouvelle fuite d’email pourrait bien entacher un peu plus sa réputation.
Opensea : des emails d’utilisateurs divulgués
Forte de plusieurs milliards de dollars de volume chaque mois, Opensea a su se placer en leader incontesté de l’écosystème NFT. Le mois de juin aura néanmoins été moins brillant que les précédents, avec seulement 630 millions de dollars de volume, soit 4 fois moins qu’au mois de mai.
Comme une mauvaise nouvelle n’arrive jamais seule, Opensea a dévoilé sur son blog officiel avoir subi une fuite d’emails utilisateurs.
Ainsi, il semblerait qu’un employé de leur service d’envoi d’email, Customer.io, a « abusé de son accès pour télécharger et partager des adresses e-mail ». En pratique, ces adresses ont été fournies par les utilisateurs d’OpenSea, notamment ceux inscrits à la newsletter de la plateforme.
« Si vous avez partagé votre adresse électronique avec OpenSea dans le passé, vous devez supposer que vous avez été touché. »
>> Sécurisez vos NFT préférés avec un wallet Ledger (lien commercial) <<
Vers une recrudescence des attaques de type phishing
Il est évident que cette base de données d’adresses fuitée finira tôt ou tard par être utilisé à mauvais escient. Ainsi, il y a fort à parier que ces dernières seront utilisées dans le cadre d’attaques dites phishing.
Pour rappel, une attaque phishing vise à envoyer les utilisateurs vers un site internet répliquant à l’identique le site d’Opensea. L’objectif étant de mettre l’utilisateur en confiance en lui faisant croire qu’il est sur le site officiel. Par la suite, il sera poussé à signer une transaction qui aura pour but de siphonner l’intégralité de son compte.
Ainsi, si vous avez un jour partagé votre adresse email avec Opensea, attendez-vous à recevoir de faux mails, se faisant passer pour la plateforme de NFT dans les mois à venir. Faites attention à bien vérifier l’émetteur de ces mails, afin de ne pas suivre des liens de phishing.
Quelques recommandations de sécurité
Pour tenter tant bien que mal de rattraper sa bourde monumentale, la plateforme a publié quelques recommandations à destination de ses utilisateurs :
- Méfiez-vous des emails de phishing provenant d’adresses qui tentent de se faire passer pour OpenSea. OpenSea enverra UNIQUEMENT des emails provenant du domaine : ‘opensea.io’.
- Ne téléchargez jamais rien à partir d’un email d’OpenSea. Les emails authentiques d’OpenSea ne contiennent pas de pièces jointes ou de demandes de téléchargement.
- Vérifiez l’URL de toute page liée dans un email d’OpenSea. Assurez-vous que « opensea.io » est correctement orthographié, car il est courant que des acteurs malveillants usurpent des URL en mélangeant les lettres.
- NE JAMAIS partager ou confirmer vos mots de passe ou vos phrases secrètes de portefeuille. OpenSea ne vous invitera jamais à le faire, quel que soit le format.
- Ne signez JAMAIS une transaction de portefeuille directement à partir d’un email. Les emails d’OpenSea ne contiendront jamais de liens vous invitant directement à signer une transaction de porte-monnaie.
Certes de bons conseils, mais qui auraient probablement été mieux accueillis si la faute n’était pas du côté d’Opensea.
En effet, il ne faut en aucun cas minimiser la gravité de cette fuite, potentiellement massive, d’emails. En février dernier, Opensea avait été victime d’une importante vague de phishing, ciblant évidemment ses utilisateurs. Le résultat fut catastrophique : plus de 500 ETH en NFT ont été dérobés par l’attaquant en l’espace de quelques heures.
Vos NFT ont une grande valeur et méritent une protection maximale ! Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).