Une réinitialisation du mot de passe est imposée aux utilisateurs de l'échange de crypto-monnaie Poloniex après une fuite d'informations d'identification

Poloniex Password Reset

Hier, nous avons écrit sur une récente campagne de phishing destinée aux utilisateurs de PayPal en Amérique latine. Nous avons expliqué comment les hameçonneurs tentent souvent de tromper les victimes en leur faisant croire que quelqu'un essaie de pirater leur compte. L'idée est que la panique qui s'ensuit diminuera les chances de l'utilisateur de remarquer qu'il est victime d'une arnaque. Bien qu'elle soit assez efficace, la pratique est assez courante maintenant et beaucoup de gens la connaissent. À tel point qu'en fait, lorsque quelques utilisateurs de Poloniex ont reçu des e-mails concernant la sécurité de leur compte, ils étaient plutôt sceptiques.

Une alerte e-mail inattendue fait sourciller

Selon le message, l'échange de crypto-monnaie contactait ses clients en raison d'une liste d'adresses e-mail et de mots de passe qui circulaient sur Twitter. L'e-mail a déclaré que l'équipe de sécurité de la plateforme de trading avait saisi la liste, l'avait analysée et déterminé que certaines des adresses étaient associées à des comptes Poloniex. Les utilisateurs qui ont reçu le message ont été informés que leur adresse figure sur cette liste et que par prudence, Poloniex a forcé une réinitialisation du mot de passe pour leur compte. Bien qu'il n'y ait pas de lien les redirigeant vers une page de connexion, certains utilisateurs ont immédiatement supposé qu'ils étaient à l'extrémité réceptrice d'une attaque de phishing.

Ils ont exprimé leurs préoccupations sur les réseaux sociaux et de nombreuses autres personnes ont convenu que le message avait l'air un peu louche. Le 30 décembre, cependant, l'équipe de support de Poloniex a confirmé que l'e-mail était authentique.

Poloniex nous raconte ce qui s'est passé

Malgré le tweet de Poloniex, certaines personnes sont restées confuses, et hier, l'échange de crypto-monnaie a finalement décidé de publier un article Medium et de partager plus de détails sur la question. La publication indique qu'environ 1% des clients de la plateforme de trading ont reçu l'alerte par e-mail. Comme déjà mentionné, Poloniex les a contactés car leurs adresses e-mail ont été trouvées sur une liste de données de connexion divulguées qui effectuait les tournées fin décembre.

Surtout, les données n'ont pas été volées à Poloniex. Les experts en sécurité de la bourse de crypto-monnaie ont vérifié leurs systèmes et n'ont trouvé aucune preuve d'une violation de données. De plus, ils ont mentionné à la fois dans le message Medium et dans l'e-mail qu'ils stockent les mots de passe sous forme de hachages bcrypt salés. En revanche, toutes les informations de connexion dans la liste divulguée étaient en texte brut.

Après avoir contacté Troy Hunt, les experts en sécurité de Poloniex ont découvert que 90% des mots de passe de la liste étaient déjà présents dans la base de données Have I Been Pwned. Hunt possède déjà le reste des données et les chargera bientôt dans son service d'alerte de violation de données.

En d'autres termes, les spécialistes de la sécurité de Poloniex ont tenté de protéger leurs clients contre une attaque de bourrage d'informations d'identification.

Une divulgation légèrement meilleure aurait fait toute la différence

Il est plus facile que jamais de mettre la main sur une quantité importante de données de connexion volées, ce qui signifie que les attaques de bourrage d'informations d'identification deviennent de plus en plus fréquentes. Poloniex mérite une tape dans le dos pour avoir aidé ses clients à se protéger contre cette menace particulière. Il faut dire, cependant, qu'un compte rendu plus détaillé de ce qui se passait et un timing légèrement meilleur auraient permis aux utilisateurs de se gratter la tête.

L'alerte, par exemple, n'a pas adressé les utilisateurs par leur nom ou leur nom d'utilisateur et a plutôt commencé par «Cher client Poloniex», qui est souvent considéré comme le signe révélateur d'un e-mail de phishing. En plus de cela, lorsque les messages ont été envoyés, il n'y avait aucun billet de blog d'accompagnement qui pourrait éclairer la question. Il n'est sorti que trois jours plus tard, et pendant ce temps, la seule chose que les clients ont dû passer a été un tweet du compte de support de Poloniex, qui les a exhortés à "réinitialiser votre mot de passe pour la sécurité du compte".

Comme vous pouvez le voir, même les plus petites erreurs peuvent causer beaucoup de confusion, surtout lorsque la sécurité (et, dans ce cas, l'argent crypto) de nombreuses personnes est en jeu. Toute l'histoire est une autre preuve que la divulgation d'un événement lié à la sécurité est parfois tout aussi importante que les mesures prises pour garantir la sécurité des personnes.

January 3, 2020

Laisser une Réponse