Un autre jour, un autre service Bitcoin important a fait irruption.
La nouvelle a éclaté ce matin que des pirates avaient compromis des comptes appartenant à la société de prêt de crypto BlockFi en utilisant des échanges de cartes SIM, une tactique courante que les pirates utilisent pour voler l’identité des utilisateurs de téléphones portables en trompant les fournisseurs de téléphonie mobile. Et la communauté des cryptophiles ne prend pas bien la nouvelle.
La société a déclaré dans un rapport d’incident envoyé aux utilisateurs que des informations sensibles provenant des comptes, telles que les noms, les adresses électroniques, les dates de naissance, les adresses physiques et les historiques d’activité ont été révélées aux pirates.
Selon BlockFi, cependant, les pirates étaient pas capable d’accéder à d’autres données personnelles identifiables, notamment les numéros de sécurité sociale, les numéros d’identification fiscale, les passeports, les licences, les mots de passe, les informations sur les comptes bancaires, les préférences de compte et les cartes d’identité avec photo.
Néanmoins, la nouvelle semble avoir alarmé les clients de BlockFi et déclenché une tempête de controverses sur Twitter, en particulier parmi les Bitcoiners soucieux de leur vie privée.
L’expert en protection de la vie privée de Bitcoin et Histoires de la crypte animateur de podcast Matt Odella déclaré Décrypter qu’il est personnellement déçu du « manque de divulgation publique » sur le site web de BlockFi en ce qui concerne le piratage. Le rapport d’incident de la violation était daté du 14 mai, mais n’a été envoyé aux utilisateurs que ce matin, et n’a pas été publié sur le site web de BlockFi.
Au lieu de cela, les utilisateurs ont reçu un « message de la main sur les adresses de la 2FA et de la liste blanche », a déclaré M. Odell, apparemment avant que la nouvelle de la violation ne soit rendue publique ce matin, puisque le article de blog a été publié hier et mis à jour aujourd’hui.
« Le fait que le personnel du marketing ait accès à ces informations sensibles sur la vie privée est troublant en soi, mais le fait qu’un simple échange de cartes SIM ait permis à des acteurs malveillants d’y avoir accès est encore pire », a déclaré M. Odell. « Cela montre un mépris total pour la vie privée des utilisateurs ».
Ce manque de confidentialité semble être au centre de la controverse, puisque BlockFi ne permet pas de déposer sur sa plate-forme les fonds qui ont été passés par les mélangeurs Bitcoin. Les fonds mélangés par le biais de CoinJoin, un service qui obscurcit les transactions de Bitcoin, sont interdits à BlockFi, ce qui, selon le PDG de l’entreprise, Zac Prince, est dû à des inquiétudes concernant la réglementation.
L’argument est que si les utilisateurs de BlockFi avaient pu utiliser CoinJoin et d’autres mixeurs, leurs données n’auraient pas été compromises par cette violation.
Selon le crypto-juriste Rafael Yakobi, des services comme CoinJoin ne sont pas illégaux, mais des sociétés d’expertise médico-légale comme Chainalysis ont convaincu BlockFi et d’autres d’interdire leur utilisation auprès de leurs clients.
« L’utilisation de CoinJoin pour les dépôts et les retraits aurait aidé les utilisateurs à atténuer les problèmes de protection de la vie privée que pose un tel piratage, mais BlockFi est une des cinq entreprises qui interdit explicitement l’utilisation de CoinJoin », a déclaré M. Odell. « L’acteur malveillant qui a compromis leur système peut maintenant facilement utiliser les adresses de dépôt et de retrait pour suivre les transactions passées et futures des utilisateurs ainsi que leurs soldes », a-t-il déclaré. « Les politiques anti-coinjoin sont anti-utilisateurs ».
Yakobi est d’accord. « Si des acteurs malveillants obtiennent des historiques de transactions liés à des noms réels », a-t-il dit DécrypterLes utilisateurs pourraient maintenant être vulnérables à des attaques ciblées, puisque les pirates pourraient être en mesure de discerner combien de bitcoin une personne possède, et où ce bitcoin pourrait être stocké.
M. Yakobi a déclaré : « La collecte d’informations par le biais du réseau draconien devrait être examinée et limitée, compte tenu des risques inhérents à la diffusion non autorisée d’informations privées sensibles et de la valeur douteuse de cet outil de lutte contre le blanchiment d’argent ».
Il reste à déterminer ce que cela signifiera pour l’activité de BlockFi et pour la confiance qu’il a pu perdre auprès de ses utilisateurs. L’entreprise n’a pas encore fait de commentaires publics sur le piratage, autres que le rapport d’incident. Le PDG de BlockFi, Zac Prince, n’était pas disponible pour répondre à DécrypterLa demande d’entretien de la Commission.
Auteur/autrice
