La plateforme d’échange de crypto-monnaies iranienne Bit24.cash exposerait les données sensibles de près de 230 000 utilisateurs

Dernière mise à jour : Janvier 8, 2024 23 :01 EST . Temps de lecture : 1 min

Divulgation : Les crypto-monnaies sont une classe d’actifs à haut risque. Cet article est fourni à titre informatif et ne constitue pas un conseil en investissement. En utilisant ce site Web, vous acceptez nos conditions générales. Nous pouvons utiliser des liens d’affiliation dans notre contenu et recevoir une commission.Source : PixabayLes utilisateurs de la plateforme d’échange de crypto-monnaies iranienne Bit24.cash auraient subi une importante violation de données exposant les données sensibles de près de 230 000 citoyens. Cependant, l’échange a rejeté l’allégation comme étant « totalement fausse ».

La violation a été attribuée à un stockage prétendument mal configuré utilisé par l’échange, selon une équipe de chercheurs de Cybernews, qui a initialement mis en lumière les allégations.

Le stockage d’objets MinIO mal configuré n’était pas protégé, ce qui permettait d’accéder aux compartiments S3 contenant les documents KYC des utilisateurs. Les données contenaient des informations, notamment des lettres de consentement, des informations de passeport et des détails de carte de crédit, ont expliqué les chercheurs.

« En accédant à des données personnelles et financières aussi complètes, des acteurs malveillants pourraient usurper l’identité d’individus, obtenir un accès non autorisé à des comptes, effectuer des transactions frauduleuses et potentiellement causer des dommages financiers et personnels substantiels aux utilisateurs concernés. »

Les chercheurs de Cybernews ont déclaré plus tard que le stockage est désormais sécurisé et inaccessible.

Bit24.cash fait partie des 5 plus grandes plateformes d’échange de crypto-monnaies en Iran, selon TRMlabs insights. Le pays a adopté une position pro-crypto en 2019 pour contourner les sanctions imposées à son encontre.

En réponse à ces allégations, l’exchange a réfuté avec véhémence l’allégation, la qualifiant d’"inexacte et trompeuse ».

Hossein Amini, ingénieur en sécurité chez bit24.cash, a assuré qu’il n’y avait aucune preuve de violation de données ou d’accès non autorisé à des données sensibles et que la sécurité des utilisateurs restait la « priorité absolue » de Bit24.cash.

« La référence à une instance MinIO mal configurée accordant l’accès à des compartiments S3 contenant des données KYC est totalement fausse et ne correspond pas à notre architecture ou à nos protocoles de sécurité », a déclaré Amini. Il a affirmé avec confiance que leur instance MinIO et leurs compartiments S3 restent sécurisés.

Plusieurs violations ont eu lieu dans le passé en raison d’un accès non sécurisé aux informations des utilisateurs. La récente violation potentielle de Strike, une plate-forme de paiement basée sur Bitcoin Lightning, signalée par le détective en ligne ZachXBT, prétendait avoir exposé les e-mails privés des utilisateurs.