Le service client de Trezor a été victime d’un incident : Les données de 66 000 utilisateurs sont exposées
L’entreprise a indiqué que les fonds des utilisateurs ne sont pas en danger, et avoir lancé une investigation pour connaître l’origine de cet incident, qui concerne les clients ayant interagi avec le support client au moins une fois depuis décembre 2021.
Une fuite de données personnelles des clients Trezor
Après Ledger à l’été 2020, c’est au tour de Trezor d’être confrontée à une fuite des données de ses clients. La société tchèque a indiqué avoir identifié le 17 janvier 2024, à 20 h 20 CET, un “incident” mettant en danger potentiel une “petite partie” de sa base de données clients, jusqu’à 66 000 utilisateurs du wallet. Il s’agit de ceux qui ont interagi avec le service support de Trezor depuis décembre 2021. Leurs noms et leurs adresses e-mail seraient compromis, mais pas les fonds détenus sur leurs wallets, a tenu à préciser le constructeur de hardware.
🚨Security Alert 🚨
On January 17, 2024, the third-party support ticketing portal we use encountered unauthorized access.
Potentially impacted data are limited to user emails and names/nicknames that contacted our customer support team.
We want to assure you that this does not… pic.twitter.com/hnxBYBlvlO
— Trezor (@Trezor) January 20, 2024
Dans une volonté de “transparence”, Trezor a rapidement expliqué avoir envoyé un email à ses clients pour les informer des tentatives de phishing dont ils pourraient être l’objet, à cause de cet incident.
“L’exposition potentielle des adresses électroniques peut être préjudiciable dans la mesure où les courriels peuvent faire l’objet de tentatives d’hameçonnage. Pour l’instant, nous n’avons pas observé de pic d’activité de phishing suite à cet incident de sécurité”.
Comment la fuite a-t-elle pu arriver ?
Pour l’heure, la firme ne parle pas de hack, mais d’un incident. D’après les informations recueillies, une personne aurait eu un “accès non autorisé” à cette application, et aurait sollicité quarante-et-un clients de Trezor en leur demandant leurs phrases de récupération (seed phrase). Trezor a réussi à contacter ces clients et indique qu’aucune seed phrase n’a été finalement partagée. Huit autres personnes, qui s’étaient inscrites dans un channel de discussion hébergé par ce même fournisseur, ont également été contactées, sans conséquence.
Dans ce post, le constructeur de wallet détaille par ailleurs la procédure qu’il a mise en place : contact du fournisseur dans les six minutes qui ont suivi la découverte de l’incident, envoi d’emails aux clients visés par les tentatives d’hameçonnage, etc. Dans cette phase, Trezor déplore tout de même que son sous-traitant ne soit pas encore parvenu à fournir une “réponse définitive” sur ce qui s’est passé.
“Malheureusement, la dépendance à l’égard de fournisseurs de services tiers et la gouvernance de ces derniers sont des défis omniprésents dans les entreprises modernes ; nous évaluons toutefois de près notre partenariat avec le fournisseur tiers concerné.”
Ledger avait connu le même type d’incident en 2020
Ce n’est pas la première fois que l’une des plus importantes sociétés de wallet crypto est confrontée à ce type de déconvenue. En juin 2020, Ledger avait connu une fuite de données similaire qui avait impliqué plus d’un million d’adresses e-mail et 200 000 adresses postales de clients. En mars 2023, une fausse application “Trezor Wallet Suite” s’était retrouvée sur l’Apple Store, alors que la vraie se nomme “Trezor Suite Lite”.
Source : Trezor.
Sur le même sujet
- L’interview de la semaine : Gérer son identité avec un wallet décentralisé grâce à myDid
- Entretien exclusif avec Sébastien Martin, CEO de Raid Square, sur la sécurité en crypto
- Pascal Gauthier, PDG de Ledger : “Nous irons jusqu’au bout pour sortir Stax”
