CoinMarketCap, un site Web de suivi des prix des crypto-monnaies, a été victime d’une attaque qui a divulgué 3,1 millions (3 117 548) d’adresses e-mail d’utilisateurs.

L’information a été révélée après qu’il a été découvert que les adresses e-mail piratées étaient échangées et vendues en ligne sur divers forums de piratage, et révélé par Have I Been Pwned, un site Web dédié au suivi des piratages et des comptes en ligne compromis.

CoinMarketCap, une filiale de l’échange de crypto-monnaie Binance, a confirmé que la liste des comptes d’utilisateurs divulgués correspondait à leur base d’utilisateurs :

« CoinMarketCap a remarqué que des lots de données sont apparus en ligne qui prétendent être une liste de comptes d’utilisateurs. Alors que les listes de données que nous avons vues ne sont que des adresses e-mail, nous avons trouvé une corrélation avec notre base d’abonnés. »

Alors qu’elle a confirmé la corrélation des 3,1 millions (3 117 548) d’adresses e-mail d’utilisateurs avec sa base d’utilisateurs le 12 octobre, la société a assuré que les pirates n’avaient accès à aucun des mots de passe des comptes des utilisateurs. « Nous n’avons trouvé aucune preuve d’une fuite de données de nos propres serveurs ; nous enquêtons activement sur ce problème et mettrons à jour nos abonnés dès que nous aurons de nouvelles informations », a déclaré le porte-parole de CoinMarketCap.

Malgré la confirmation, CoinMarketCap n’a pas encore identifié la cause exacte du piratage. En réponse à la demande de commentaire de Cointelegraph, CoinMarketCap mentionné:

« Comme les mots de passe ne sont pas inclus dans les données que nous avons vues, nous pensons qu’ils proviennent très probablement d’une autre plate-forme où les utilisateurs peuvent avoir réutilisé des mots de passe sur plusieurs sites. »

En rapport: Les pirates profitent de la faille MFA pour voler 6 000 clients Coinbase: rapport

Une récente attaque contre l’échange crypto Coinbase a entraîné la compromission de 6 000 comptes d’utilisateurs.

L’attaque était le résultat de l’exploitation du système d’authentification multifacteur (MFA) de l’échange, suggérant que les pirates avaient accès aux adresses e-mail de l’utilisateur. Selon Coinbase, les attaquants ont identifié une vulnérabilité dans le processus de récupération de compte :

« Dans cet incident, pour les clients utilisant des messages texte SMS pour l’authentification à deux facteurs, le tiers a profité d’une faille dans le processus de récupération de compte SMS Coinbase pour recevoir un jeton d’authentification à deux facteurs pour SMS et accéder à votre compte  » .

Alors que Coinbase n’a pas encore révélé la valeur des actifs volés, l’incident a été complété par des milliers de plaintes formelles de titulaires de compte contre la société.