Shuffle, une plateforme de paris crypto de premier plan, a subi une violation de données après que son fournisseur de services clientèle tiers a été compromis, exposant les données de la plupart de ses utilisateurs.

Selon un post X de vendredi du fondateur de Shuffle, Noa Dummett, le fournisseur de services de gestion de la relation client (CRM) de l'entreprise, Fast Track, a subi une violation de données qui a exposé les données de ses utilisateurs. Shuffle utilisait le service en question pour "l'envoi d'e-mails programmatique et diverses communications avec les utilisateurs," ce qui suggère que ces messages et adresses e-mail faisaient probablement partie des données exposées.

"Malheureusement, il semble que leur violation ait eu un impact sur la majorité de nos utilisateurs," a écrit Dummett. Il a déclaré que l'entreprise enquêtait sur la manière dont la violation s'est produite et "où ces données ont fini."

La quantité de données est susceptible d'être significative. Selon SimilarWeb, Shuffle était le 12 064ème site web le plus visité au monde au moment de la rédaction. Dummett a également noté que l'entreprise cherchera des alternatives à Fast Track. "Nous examinerons également les moyens de mitiger les risques liés aux systèmes tiers à l'avenir."

Ni Dummett ni Fast Track n'ont répondu à une demande de commentaire avant l'heure de publication.

Les violations de données affectent l'industrie cryptographique

Même si une violation de données n'expose que des e-mails ou des messages de support client, les utilisateurs de crypto-monnaies sont confrontés à un risque accru car les attaquants peuvent utiliser ces informations pour du phishing et de l'ingénierie sociale --- en imitant des échanges ou des portefeuilles pour voler des clés privées ou des fonds. Contrairement aux comptes traditionnels, les transactions en crypto-monnaies sont irréversibles, ce qui signifie qu'une seule escroquerie réussie peut entraîner une perte totale et permanente.

Un exemple récent est la base de données contenant les données sensibles de vérification d'âge de plus de 2,1 millions d'utilisateurs ( y compris des photos de documents ) qui ont été divulguées depuis Discord, une plateforme de messagerie de jeux populaire parmi les utilisateurs de crypto.

Le mois dernier, un certain échange de crypto a nié avoir gardé un secret concernant une fuite de données d'utilisateurs de 2023.

Au cours de l'été, l'opérateur de distributeurs automatiques de crypto-monnaie Bitcoin Depot a informé ses utilisateurs d'une violation de données survenue au milieu de 2024, qui a exposé les informations privées de près de 27 000 clients.

Une grande plateforme de cryptomonnaie aurait également été informée en janvier qu'un employé d'une entreprise de sous-traitance aurait pu divulguer des données clients.

Les fuites de données cryptographiques mettent les gens en danger physique

Un autre problème découlant de la fuite de données qui peuvent conduire à l'identification des détenteurs de cryptomonnaies les expose à ce que l'on appelle des attaques au $5 wrench. Ce type d'attaque consiste à voler la cryptomonnaie de quelqu'un en le menaçant physiquement ou en le contraignant ; le nom fait référence à être frappé avec une clé à molette pour révéler son mot de passe, comme le montre un comic XKCD.

À la fin du mois d'août, un tribunal indien anti-corruption a condamné 14 individus à la réclusion à perpétuité dans une affaire impliquant l'enlèvement et l'extorsion de crypto d'un homme d'affaires basé à Surat en 2018. La situation est devenue si grave qu'Alena Vranova, fondatrice de SatoshiLabs, a averti de l'augmentation des attaques $5 wrench et a déclaré que "chaque semaine, il y a un Bitcoiner, au moins un dans le monde, qui est enlevé, torturé, extorqué, et parfois même pire."

La situation s'est détériorée au point où les dépositaires de crypto-monnaies connaissent un intérêt accru pour leurs services en raison de la fréquence croissante des soi-disant "$5 attaques à la clé à molette" ciblant les traders de crypto-monnaies, les investisseurs et les leaders de projet.

L'incident Shuffle met en évidence une faiblesse récurrente dans l'écosystème des cryptomonnaies --- des intermédiaires centralisés manipulant des données sensibles des utilisateurs --- et souligne la nécessité de pratiques d'audit de sécurité et de gestion des risques plus transparentes.