Quoi de plus terrible que de perdre de l'argent ? Les données bien sûr ! Fuite de données dans le domaine Web3, vos informations ont été vendues sur le dark web pendant 10 jours...
Quelles mesures devons-nous prendre pour éviter les fuites de données ?
Écrit par : Certik
Dans la société d'aujourd'hui, que nous travaillions ou vivions, Internet est depuis longtemps indissociable de la vie des gens. Vous n'êtes pas obligé d'apporter un portefeuille, mais vous devez apporter votre téléphone portable lorsque vous sortez.Il n'y a pas de carte physique pour le paiement, et même les mendiants des rues ont commencé à utiliser Internet pour transférer et collecter de l'argent avec des codes QR.
Il n'est pas difficile d'imaginer que la plupart des menaces auxquelles sont actuellement confrontés les particuliers, les entreprises, les organisations et leurs clients proviennent en fait de vulnérabilités et attaques de réseau. De nos jours, la confidentialité des données et la vie privée qui préoccupent les gens sont devenues extrêmement importantes. Chaque année, les cas de perte de données sensibles dus à des vulnérabilités sont innombrables.
De nombreux incidents de sécurité majeurs se sont produits dans l'histoire du Web3.0, allant de la perte des clés privées des échanges centralisés au vol des données personnelles des investisseurs. Et ces données pourraient exister pendant des années dans les forums de piratage en ligne et les marchés du darknet, ce qui signifie qu'une violation de données mettrait les utilisateurs concernés en danger pendant longtemps.
L'analyse CertiK a examiné 74 incidents de sécurité survenus dans des entités Web 3.0 centralisées. 23 de ces incidents ont entraîné un risque élevé de perte de données à long terme, et sur ces 23 incidents, 10 paquets étaient toujours disponibles à l'achat sur les forums du dark web.
Une série de campagnes d'application de la loi contre les forums de hackers peut empêcher l'extraction de certaines données, mais de telles mesures ne sont après tout que des palliatifs.
Cet article vous expliquera : la classification des incidents de fuite de données Web3.0 et les mesures que nous devons prendre pour protéger la sécurité de nos données.
arrière-plan
Le piratage, les exploits, les rançongiciels et toutes les menaces de cybersécurité augmentent en taille et en gravité. L'écosystème Web 3.0 est unique en ce sens qu'il fournit aux acteurs malveillants une variété de vecteurs d'attaque introuvables dans d'autres technologies, y compris des vulnérabilités dans les contrats intelligents et de nouvelles techniques de phishing.
Cependant, l'histoire des incidents de sécurité Web 3.0 est étroitement liée à la situation dans d'autres secteurs. Les zones non Web 3.0 manquent les mêmes types de failles de sécurité que les projets centralisés et les entreprises ne parviennent pas à résoudre.
Nous voulions examiner de plus près l'historique des incidents de cybersécurité par rapport aux objectifs du Web 3.0 et évaluer si les incidents passés présentent aujourd'hui un risque permanent pour les membres de la communauté.
Pour ce faire, il faut une analyse minutieuse de la façon dont les incidents de sécurité dans ce rapport diffèrent des vulnérabilités causées par l'exploitation des protocoles de contrat intelligents.
Nous avons étudié de nombreux incidents contre les entreprises Web3.0 depuis 2011, et ils peuvent être grossièrement divisés en deux catégories :
Protocol Malicious Exploitation : événements qui utilisent des codes de contrat intelligents pour obtenir des avantages économiques
* Vulnérabilité : incident au cours duquel un attaquant compromet le réseau interne d'une organisation cible et utilise les privilèges obtenus pour voler des données ou des fonds de l'entreprise
Il existe plusieurs différences importantes entre les deux catégories en termes de risque à court terme et à long terme.
Les exploits malveillants du protocole se produisent dans un délai défini, commençant lorsque l'attaquant exécute l'exploit et se terminant lorsqu'il épuise tous les fonds disponibles, tombe en panne sèche ou provoque l'arrêt du projet cible. Certains de ces événements peuvent durer des heures ou des jours, les négociations post-événement prolongeant encore ce délai, et il y a également eu des cas de projets arrêtés immédiatement après. La clé, cependant, est que ces attaques ont des nœuds de départ et de fin clairs.
Les vulnérabilités, en revanche, sont qualifiées d'incidents durables (l'attaquant accède au réseau et y reste longtemps). Une violation est généralement définie comme l'exfiltration de données qui sont exploitées lors d'une attaque ou vendues par la suite sur le darknet ou des forums en ligne.
Les failles de réseau peuvent également entraîner de graves pertes financières. La plupart des organisations Web 3.0 sont des entités financières avec un flux d'argent élevé, ce qui en fait une cible naturelle pour les pirates.
Les violations de données peuvent être dévastatrices et le risque peut durer des années, en particulier si des informations personnellement identifiables (PII) sont perdues lors de la violation.
Dans cet esprit, nous avons collecté un échantillon de 74 incidents passés que nous classons comme des violations qui présentent un risque permanent pour les membres de la communauté (comprend uniquement les incidents où le réseau interne d'une entreprise a été compromis et n'inclut pas les données sur l'exploitation du protocole) .
Nous pensons qu'il est nécessaire de faire la distinction entre les incidents au cours desquels des données sensibles sont perdues et les incidents au cours desquels seuls des fonds sont perdus. Pour mieux évaluer le risque permanent de ces violations, nous mettrons en évidence les violations dont les données sont toujours disponibles à la vente ou librement disponibles sur le darknet ou d'autres zones du clearnet, et offrirons nos réflexions sur l'accessibilité de ces plateformes.
Violation de données et perte de fonds
Pour évaluer le risque continu associé à ces événements, nous les avons regroupés dans les événements définis suivants :
Les événements de perte de données qui sont théoriquement ** récupérables **, y compris les PII et les bases de données internes, etc.
En cas de perte de fonds ou de données et que les données ne peuvent plus être récupérées.
La deuxième catégorie d'incidents de perte de données irrécupérables consiste principalement en des violations qui n'entraînent que la perte de fonds ou de clés privées. Dans de tels cas, les fonds perdus sont généralement irrécupérables.
Les événements inhabituels incluent ceux où les données volées n'ont jamais été divulguées, restituées ou utilisées à d'autres fins. Par exemple, en juin 2020, l'échange centralisé japonais Coincheck a été attaqué et les PII de plus de 200 clients sont tombés entre les mains des attaquants. Les attaquants ont compromis le réseau de Coincheck, puis ont envoyé des e-mails de phishing à partir de l'adresse e-mail interne de l'entreprise, exigeant des PII de la part des clients. Mais aucune base de données spécifique n'a été perdue lors de cet incident, et les données perdues étaient uniquement celles des clients qui ont répondu aux e-mails.
Lors d'un autre incident en juin 2020, l'échange centralisé canadien Coinsquare a également connu une violation où 5 000 adresses e-mail, numéros de téléphone et adresses personnelles ont été divulgués et perdus.
Après avoir fait des allers-retours entre Coinsquare, les attaquants ont déclaré qu'ils utiliseraient les données dans des attaques d'échange de cartes SIM, mais qu'ils n'essaieraient pas de les vendre afin de "pêcher pendant longtemps". Ce type d'événement est également classé comme un second type d'événement irréparable.
Sur les 74 incidents que nous avons identifiés, 23 pourraient être classés comme incidents récupérables de données, soit environ 31 %. Les 51 incidents restants étaient soit les incidents anormaux décrits ci-dessus, soit ceux qui ont simplement entraîné une perte de fonds.
Graphique : Données récupérables vs non récupérables pour les événements survenus entre 2011 et 2023 (Source : CertiK)
Nous pouvons voir quelques points :
① Les événements de données qui sont très susceptibles d'être récupérés ou récupérés ont considérablement augmenté après 2019. Ceci est directement proportionnel à l'augmentation des attaques de piratage et des incidents de fuite de données dans diverses industries pendant l'épidémie.
② La croissance des aides gouvernementales au cours de cette période, dont une partie a été injectée dans l'écosystème Web3.0, couplée au marché haussier de 2021, pourrait offrir aux attaquants davantage d'opportunités de vendre des ransomwares et des données.
**Où sont passées les données volées ? **
Darknet et Télégramme
Les données perdues finissent souvent par être vendues ou déversées sur le dark web (sites .onion) ou clear net. Si les données sont présumées avoir une certaine valeur économique (PII et autres données utilisées à des fins frauduleuses), elles apparaîtront fréquemment sur les marchés du darknet ou même sur les chaînes Telegram. Si les demandes de l'attaquant (ransomware) ne sont pas satisfaites, les données sont simplement déversées dans des sites de collage ou des forums de pirates.
**L'endroit où les données finissent détermine le risque à long terme qu'elles représentent pour leur propriétaire d'origine. **
Par rapport aux données qui ne peuvent être achetées que sur le dark web, les données déversées sur des forums de pirates à un coût très faible ou nul présentent un risque de fuite plus élevé.
L'accessibilité continue de ces sites "contribue" également au risque à long terme de violation des données d'une victime. Ci-dessous, nous examinons plus en détail les ventes de données Web 3.0 trouvées dans ces sites.
Forum en ligne
Au fil des ans, des forums de piratage en ligne ont vu le jour. Compte tenu de la croissance des incidents de données récupérables après 2019, seuls quelques forums méritent d'être considérés comme des études de cas dans ce contexte. Ces forums incluent le Raid Forum, le Breach Forum et le Dread Forum.
Plusieurs violations ont choisi le forum Raid comme l'un des forums préférés pour le dumping et la vente de données piratées. Le Raid Forum a débuté en 2015 et fonctionne sur le net depuis des années. Cependant, en 2022, le domaine Raid Forum a été saisi par les forces de l'ordre américaines en coopération avec Europol.
Image : Avis de retrait des forces de l'ordre américaines et européennes sur le site Web du Raid Forum *
Fondé en 2015, le Dread Forum semble être actif jusqu'à la fin de 2022, bien qu'il y ait de nombreuses indications sur les réseaux sociaux qu'il pourrait également être disparu maintenant. Nous avons essayé d'accéder aux versions darknet (.onion) et IP2 de ce forum, mais celles-ci semblent également être en panne.
Le forum Breach a été mis en ligne immédiatement après la fermeture du forum Raid.
Les forums Breach offrent un lieu de séjour raisonnable aux utilisateurs qui ont été "déplacés" par la fermeture des forums Raid.
Il a une interface similaire à Raid Forum, un système de notation de la réputation des membres, et une activité élevée, avec des utilisateurs atteignant 60% de la base d'utilisateurs d'origine de Raid Forum (environ 550 000 utilisateurs). À peine un an plus tard, en mars 2023, le FBI a arrêté Conor Brian Fitzpatrick, qui dirigeait le forum Breach, et après une vague de drames internes sur le redéploiement du site, le site s'est effondré.
Moins d'une semaine après l'effondrement du forum Breach, un autre remplaçant est apparu, prétendument dirigé par un ex-hacker anonyme autoproclamé nommé Pirata (@_pirate18). Mais il ne compte que 161 membres, ce qui signifie que cette fois le remplaçant n'a pas réussi à absorber les anciens joueurs du forum.
De nombreux autres forums sont apparus pendant cette pause (les dernières semaines de mars). Certains d'entre eux ont été considérés comme des forums généralement offensants, il est donc raisonnable de supposer que le reste pourrait être une mascarade des forces de l'ordre.
Image : Liste des forums VX-Underground après la fermeture du forum Breach (Source : Twitter)
Nous ne pouvons que confirmer que certaines données Web3.0 existent sur l'un des forums.
Le forum ARES aurait absorbé une partie de l'activité d'autres forums fermés, mais on ne sait pas dans quelle mesure. Le forum, qui serait affilié à des groupes de rançongiciels et à d'autres acteurs malveillants, gère également une chaîne publique Telegram qui ** annonce les ventes de données ** dans son canal de vente VIP verrouillé. La chaîne a été mise en ligne le 6 mars, diffusant des centaines d'annonces (y compris des publications sur deux bases de données centralisées liées aux échanges).
Image : Annonce de la chaîne Telegram Centralized Exchange Data sur le forum ARES (Source : Telegram)
Dans l'ensemble, la communauté des forums de piratage et de vidage de données fonctionne actuellement de manière plutôt chaotique. En l'absence de remplacement clair des forums traditionnels et des agences internationales chargées de l'application de la loi intensifiant leur répression contre ces groupes, il est presque certain que les forums ne seront pas le site de violations de données majeures (y compris le Web 3.0) de sitôt. Route préférée.
Dark Web - Violations de données sur les sites .onion
Les marchés et les forums du dark web sont depuis longtemps des endroits où les gens vident ou vendent leurs données.
Ces écosystèmes ont également été confrontés à des répressions de la part des forces de l'ordre, bien que ces répressions se soient davantage concentrées sur les marchés qui facilitent la vente de médicaments. Cela dit, même sur des marchés moins connus, les violations de données semblent se produire à une fréquence très élevée, ou du moins sont annoncées. La différence est maintenant radicalement différente des forums en ligne, qui stockent également des données mais ont été fermés à tous les niveaux.
Image : Données clients du grand livre à vendre sur un marché darknet (Source : Digital Thrift Shop)
Pour récapituler, 23 des 74 violations de notre échantillon de violations de données identifiées impliquaient des données qui avaient une chance d'être récupérées. Sur ces 23, nous avons pu trouver 10 annonces de vente de données actives (43%). Ces échantillons sont surlignés en vert dans notre tableau précédent :
Graphique : Cas confirmés de fuites de données vendues sur les marchés darknet surlignés en vert (Source : CertiK)
L'augmentation des ventes de données payantes dans ce graphique indique plusieurs choses. Premièrement, nous n'avons pas accès aux sources de données pour les violations survenues après 2021.
Compte tenu de la nature de l'objectif de 2022, il existe une possibilité raisonnable que des données soient apparues dans un forum qui n'existe plus.
Cependant, cela est difficile à prouver, surtout lorsque ces ensembles de données n'apparaissent sur aucun des forums qui remplaceraient Raid et Breached. Deuxièmement, ces ensembles de données sont également remarquablement absents de tous les marchés darknet que nous pouvons voir à partir de 2019 et avant, probablement parce que les marchés à partir desquels nous avons obtenu ces données sont très anciens et peu connus. Nous ne pouvons pas évaluer si ces données sont réellement toujours disponibles via ces fournisseurs, mais ces publicités le font.
**Ces violations de données représentent-elles un risque à long terme ? **
Il est difficile d'essayer de quantifier le risque à long terme, mais vous pouvez au moins comparer le risque de perte de données aux événements non liés aux données dans cet échantillon. Notez que nous pouvons classer les risques d'événements de non-conformité qui n'entraînent que des pertes financières directes comme des risques plus faibles car :
La perte est immédiate, nous pouvons mesurer l'impact en termes de monnaie fiat ou Web3.0 perdue
Toutes les données perdues au cours de ce processus sont remplaçables. En cas de compromission, les clés privées, les mots de passe et les points d'accès réseau privilégiés doivent être modifiés pour résoudre le problème.
Les violations de violations qui entraînent la perte de données sensibles, en particulier les données des clients, présentent un risque plus important à long terme
Une grande partie de ces données est vendue ou disponible gratuitement sur le Web sombre ou clair, prolongeant ainsi leur disponibilité à long terme.
Les points de données personnelles des clients, c'est-à-dire les numéros de téléphone, prénoms/noms, adresses et données transactionnelles, sont difficiles ou impossibles à modifier. Ainsi, même si quelqu'un modifie ses informations personnelles à la suite d'une violation, toutes les données des autres personnes impliquées dans la violation sont toujours menacées.
L'impact de cette violation est difficile ou impossible à mesurer. Selon les données perdues, la victime peut ou non avoir été la cible de plusieurs escroqueries.
Nous avons trouvé des données à vendre dans une brèche en 2014. Ce point de données particulier est une preuve supplémentaire de la difficulté de mesurer le risque à long terme. Le piratage de 2014 qui a attaqué l'échange de crypto BTC-E, aujourd'hui disparu, qui a été saisi par les forces de l'ordre américaines en 2017 - présente en fait un risque beaucoup plus faible associé à la perte de données que d'autres.
Cependant, pour être clair, ** le risque reste permanent ** que ces données puissent correspondre à des données provenant de nouvelles violations, augmentant ainsi le risque à long terme pour les personnes participant au Web 3.0 pendant cette période.
En regardant l'espace dans son ensemble, les ** données perdues après 2019 ** (en particulier les données qui sont toujours facilement disponibles à la vente sur les marchés du darknet) présentent très probablement le risque à long terme le plus élevé. À partir de 2022, les personnes concernées courent presque certainement un risque important que leurs données soient utilisées pour des activités frauduleuses (même si elles ne peuvent pas être localisées physiquement). Malgré la fermeture de nombreux forums en ligne, nous devons supposer que toutes les données perdues, en particulier lors de récentes violations de données, sont probablement toujours disponibles quelque part et peuvent réapparaître à tout moment.
Écrivez à la fin
La réalité est que les failles de sécurité ne peuvent pas être éliminées à 100 %. Lorsque les données sont stockées et traitées par une entité centralisée, la plupart des utilisateurs touchés par une violation de données disposent de moyens limités pour y remédier.
Cependant, nous pouvons réduire le risque d'exposition en limitant l'utilisation des services centralisés, y compris les échanges centralisés. Les individus doivent également utiliser l'authentification à deux facteurs dans la mesure du possible pour aider à prévenir les activités indésirables du portefeuille d'échange ou l'utilisation de PII pour accéder ou modifier les détails du compte.
Selon la nature de la violation, nous pourrions même envisager d'essayer de modifier certaines des informations exposées dans la violation, telles que les adresses e-mail ou les numéros de téléphone.
Et dans une violation de données Web 3.0, si vous avez l'intention d'opérer de manière anonyme, votre identité sera alors confrontée à une menace supplémentaire de divulgation.
Il existe d'autres mesures que les gens peuvent prendre pour protéger les données et les investissements. Comme la réduction des investissements et des risques financiers en distribuant des actifs dans des portefeuilles en libre garde et des portefeuilles rigides.
Bien entendu, les données peuvent également être protégées par :
Réduisez le nombre d'institutions d'investissement ou d'échanges Web3 centralisés qui partagent vos données personnelles avec vous
Multiplateforme N'utilisez pas de mots de passe répétés
Activer l'authentification à deux facteurs sur tous les comptes
Surveillez les sites signalant des violations de données qui vous indiqueront si votre adresse e-mail a été impliquée dans une violation
Utilisez les services de surveillance du crédit pour surveiller les tentatives d'usurpation d'identité et les fraudes bancaires
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Quoi de plus terrible que de perdre de l'argent ? Les données bien sûr ! Fuite de données dans le domaine Web3, vos informations ont été vendues sur le dark web pendant 10 jours...
Écrit par : Certik
Dans la société d'aujourd'hui, que nous travaillions ou vivions, Internet est depuis longtemps indissociable de la vie des gens. Vous n'êtes pas obligé d'apporter un portefeuille, mais vous devez apporter votre téléphone portable lorsque vous sortez.Il n'y a pas de carte physique pour le paiement, et même les mendiants des rues ont commencé à utiliser Internet pour transférer et collecter de l'argent avec des codes QR.
Il n'est pas difficile d'imaginer que la plupart des menaces auxquelles sont actuellement confrontés les particuliers, les entreprises, les organisations et leurs clients proviennent en fait de vulnérabilités et attaques de réseau. De nos jours, la confidentialité des données et la vie privée qui préoccupent les gens sont devenues extrêmement importantes. Chaque année, les cas de perte de données sensibles dus à des vulnérabilités sont innombrables.
De nombreux incidents de sécurité majeurs se sont produits dans l'histoire du Web3.0, allant de la perte des clés privées des échanges centralisés au vol des données personnelles des investisseurs. Et ces données pourraient exister pendant des années dans les forums de piratage en ligne et les marchés du darknet, ce qui signifie qu'une violation de données mettrait les utilisateurs concernés en danger pendant longtemps.
L'analyse CertiK a examiné 74 incidents de sécurité survenus dans des entités Web 3.0 centralisées. 23 de ces incidents ont entraîné un risque élevé de perte de données à long terme, et sur ces 23 incidents, 10 paquets étaient toujours disponibles à l'achat sur les forums du dark web.
Une série de campagnes d'application de la loi contre les forums de hackers peut empêcher l'extraction de certaines données, mais de telles mesures ne sont après tout que des palliatifs.
Cet article vous expliquera : la classification des incidents de fuite de données Web3.0 et les mesures que nous devons prendre pour protéger la sécurité de nos données.
arrière-plan
Le piratage, les exploits, les rançongiciels et toutes les menaces de cybersécurité augmentent en taille et en gravité. L'écosystème Web 3.0 est unique en ce sens qu'il fournit aux acteurs malveillants une variété de vecteurs d'attaque introuvables dans d'autres technologies, y compris des vulnérabilités dans les contrats intelligents et de nouvelles techniques de phishing.
Cependant, l'histoire des incidents de sécurité Web 3.0 est étroitement liée à la situation dans d'autres secteurs. Les zones non Web 3.0 manquent les mêmes types de failles de sécurité que les projets centralisés et les entreprises ne parviennent pas à résoudre.
Nous voulions examiner de plus près l'historique des incidents de cybersécurité par rapport aux objectifs du Web 3.0 et évaluer si les incidents passés présentent aujourd'hui un risque permanent pour les membres de la communauté.
Pour ce faire, il faut une analyse minutieuse de la façon dont les incidents de sécurité dans ce rapport diffèrent des vulnérabilités causées par l'exploitation des protocoles de contrat intelligents.
Nous avons étudié de nombreux incidents contre les entreprises Web3.0 depuis 2011, et ils peuvent être grossièrement divisés en deux catégories :
Il existe plusieurs différences importantes entre les deux catégories en termes de risque à court terme et à long terme.
Les exploits malveillants du protocole se produisent dans un délai défini, commençant lorsque l'attaquant exécute l'exploit et se terminant lorsqu'il épuise tous les fonds disponibles, tombe en panne sèche ou provoque l'arrêt du projet cible. Certains de ces événements peuvent durer des heures ou des jours, les négociations post-événement prolongeant encore ce délai, et il y a également eu des cas de projets arrêtés immédiatement après. La clé, cependant, est que ces attaques ont des nœuds de départ et de fin clairs.
Les vulnérabilités, en revanche, sont qualifiées d'incidents durables (l'attaquant accède au réseau et y reste longtemps). Une violation est généralement définie comme l'exfiltration de données qui sont exploitées lors d'une attaque ou vendues par la suite sur le darknet ou des forums en ligne.
Les failles de réseau peuvent également entraîner de graves pertes financières. La plupart des organisations Web 3.0 sont des entités financières avec un flux d'argent élevé, ce qui en fait une cible naturelle pour les pirates.
Les violations de données peuvent être dévastatrices et le risque peut durer des années, en particulier si des informations personnellement identifiables (PII) sont perdues lors de la violation.
Dans cet esprit, nous avons collecté un échantillon de 74 incidents passés que nous classons comme des violations qui présentent un risque permanent pour les membres de la communauté (comprend uniquement les incidents où le réseau interne d'une entreprise a été compromis et n'inclut pas les données sur l'exploitation du protocole) .
Nous pensons qu'il est nécessaire de faire la distinction entre les incidents au cours desquels des données sensibles sont perdues et les incidents au cours desquels seuls des fonds sont perdus. Pour mieux évaluer le risque permanent de ces violations, nous mettrons en évidence les violations dont les données sont toujours disponibles à la vente ou librement disponibles sur le darknet ou d'autres zones du clearnet, et offrirons nos réflexions sur l'accessibilité de ces plateformes.
Violation de données et perte de fonds
Pour évaluer le risque continu associé à ces événements, nous les avons regroupés dans les événements définis suivants :
La deuxième catégorie d'incidents de perte de données irrécupérables consiste principalement en des violations qui n'entraînent que la perte de fonds ou de clés privées. Dans de tels cas, les fonds perdus sont généralement irrécupérables.
Les événements inhabituels incluent ceux où les données volées n'ont jamais été divulguées, restituées ou utilisées à d'autres fins. Par exemple, en juin 2020, l'échange centralisé japonais Coincheck a été attaqué et les PII de plus de 200 clients sont tombés entre les mains des attaquants. Les attaquants ont compromis le réseau de Coincheck, puis ont envoyé des e-mails de phishing à partir de l'adresse e-mail interne de l'entreprise, exigeant des PII de la part des clients. Mais aucune base de données spécifique n'a été perdue lors de cet incident, et les données perdues étaient uniquement celles des clients qui ont répondu aux e-mails.
Lors d'un autre incident en juin 2020, l'échange centralisé canadien Coinsquare a également connu une violation où 5 000 adresses e-mail, numéros de téléphone et adresses personnelles ont été divulgués et perdus.
Après avoir fait des allers-retours entre Coinsquare, les attaquants ont déclaré qu'ils utiliseraient les données dans des attaques d'échange de cartes SIM, mais qu'ils n'essaieraient pas de les vendre afin de "pêcher pendant longtemps". Ce type d'événement est également classé comme un second type d'événement irréparable.
Sur les 74 incidents que nous avons identifiés, 23 pourraient être classés comme incidents récupérables de données, soit environ 31 %. Les 51 incidents restants étaient soit les incidents anormaux décrits ci-dessus, soit ceux qui ont simplement entraîné une perte de fonds.
Graphique : Données récupérables vs non récupérables pour les événements survenus entre 2011 et 2023 (Source : CertiK)
Nous pouvons voir quelques points :
① Les événements de données qui sont très susceptibles d'être récupérés ou récupérés ont considérablement augmenté après 2019. Ceci est directement proportionnel à l'augmentation des attaques de piratage et des incidents de fuite de données dans diverses industries pendant l'épidémie.
② La croissance des aides gouvernementales au cours de cette période, dont une partie a été injectée dans l'écosystème Web3.0, couplée au marché haussier de 2021, pourrait offrir aux attaquants davantage d'opportunités de vendre des ransomwares et des données.
**Où sont passées les données volées ? **
Darknet et Télégramme
Les données perdues finissent souvent par être vendues ou déversées sur le dark web (sites .onion) ou clear net. Si les données sont présumées avoir une certaine valeur économique (PII et autres données utilisées à des fins frauduleuses), elles apparaîtront fréquemment sur les marchés du darknet ou même sur les chaînes Telegram. Si les demandes de l'attaquant (ransomware) ne sont pas satisfaites, les données sont simplement déversées dans des sites de collage ou des forums de pirates.
**L'endroit où les données finissent détermine le risque à long terme qu'elles représentent pour leur propriétaire d'origine. **
Par rapport aux données qui ne peuvent être achetées que sur le dark web, les données déversées sur des forums de pirates à un coût très faible ou nul présentent un risque de fuite plus élevé.
L'accessibilité continue de ces sites "contribue" également au risque à long terme de violation des données d'une victime. Ci-dessous, nous examinons plus en détail les ventes de données Web 3.0 trouvées dans ces sites.
Forum en ligne
Au fil des ans, des forums de piratage en ligne ont vu le jour. Compte tenu de la croissance des incidents de données récupérables après 2019, seuls quelques forums méritent d'être considérés comme des études de cas dans ce contexte. Ces forums incluent le Raid Forum, le Breach Forum et le Dread Forum.
Plusieurs violations ont choisi le forum Raid comme l'un des forums préférés pour le dumping et la vente de données piratées. Le Raid Forum a débuté en 2015 et fonctionne sur le net depuis des années. Cependant, en 2022, le domaine Raid Forum a été saisi par les forces de l'ordre américaines en coopération avec Europol.
Fondé en 2015, le Dread Forum semble être actif jusqu'à la fin de 2022, bien qu'il y ait de nombreuses indications sur les réseaux sociaux qu'il pourrait également être disparu maintenant. Nous avons essayé d'accéder aux versions darknet (.onion) et IP2 de ce forum, mais celles-ci semblent également être en panne.
Le forum Breach a été mis en ligne immédiatement après la fermeture du forum Raid.
Les forums Breach offrent un lieu de séjour raisonnable aux utilisateurs qui ont été "déplacés" par la fermeture des forums Raid.
Il a une interface similaire à Raid Forum, un système de notation de la réputation des membres, et une activité élevée, avec des utilisateurs atteignant 60% de la base d'utilisateurs d'origine de Raid Forum (environ 550 000 utilisateurs). À peine un an plus tard, en mars 2023, le FBI a arrêté Conor Brian Fitzpatrick, qui dirigeait le forum Breach, et après une vague de drames internes sur le redéploiement du site, le site s'est effondré.
Moins d'une semaine après l'effondrement du forum Breach, un autre remplaçant est apparu, prétendument dirigé par un ex-hacker anonyme autoproclamé nommé Pirata (@_pirate18). Mais il ne compte que 161 membres, ce qui signifie que cette fois le remplaçant n'a pas réussi à absorber les anciens joueurs du forum.
De nombreux autres forums sont apparus pendant cette pause (les dernières semaines de mars). Certains d'entre eux ont été considérés comme des forums généralement offensants, il est donc raisonnable de supposer que le reste pourrait être une mascarade des forces de l'ordre.
Image : Liste des forums VX-Underground après la fermeture du forum Breach (Source : Twitter)
Nous ne pouvons que confirmer que certaines données Web3.0 existent sur l'un des forums.
Le forum ARES aurait absorbé une partie de l'activité d'autres forums fermés, mais on ne sait pas dans quelle mesure. Le forum, qui serait affilié à des groupes de rançongiciels et à d'autres acteurs malveillants, gère également une chaîne publique Telegram qui ** annonce les ventes de données ** dans son canal de vente VIP verrouillé. La chaîne a été mise en ligne le 6 mars, diffusant des centaines d'annonces (y compris des publications sur deux bases de données centralisées liées aux échanges).
Image : Annonce de la chaîne Telegram Centralized Exchange Data sur le forum ARES (Source : Telegram)
Dans l'ensemble, la communauté des forums de piratage et de vidage de données fonctionne actuellement de manière plutôt chaotique. En l'absence de remplacement clair des forums traditionnels et des agences internationales chargées de l'application de la loi intensifiant leur répression contre ces groupes, il est presque certain que les forums ne seront pas le site de violations de données majeures (y compris le Web 3.0) de sitôt. Route préférée.
Dark Web - Violations de données sur les sites .onion
Les marchés et les forums du dark web sont depuis longtemps des endroits où les gens vident ou vendent leurs données.
Ces écosystèmes ont également été confrontés à des répressions de la part des forces de l'ordre, bien que ces répressions se soient davantage concentrées sur les marchés qui facilitent la vente de médicaments. Cela dit, même sur des marchés moins connus, les violations de données semblent se produire à une fréquence très élevée, ou du moins sont annoncées. La différence est maintenant radicalement différente des forums en ligne, qui stockent également des données mais ont été fermés à tous les niveaux.
Image : Données clients du grand livre à vendre sur un marché darknet (Source : Digital Thrift Shop)
Pour récapituler, 23 des 74 violations de notre échantillon de violations de données identifiées impliquaient des données qui avaient une chance d'être récupérées. Sur ces 23, nous avons pu trouver 10 annonces de vente de données actives (43%). Ces échantillons sont surlignés en vert dans notre tableau précédent :
L'augmentation des ventes de données payantes dans ce graphique indique plusieurs choses. Premièrement, nous n'avons pas accès aux sources de données pour les violations survenues après 2021.
Compte tenu de la nature de l'objectif de 2022, il existe une possibilité raisonnable que des données soient apparues dans un forum qui n'existe plus.
Cependant, cela est difficile à prouver, surtout lorsque ces ensembles de données n'apparaissent sur aucun des forums qui remplaceraient Raid et Breached. Deuxièmement, ces ensembles de données sont également remarquablement absents de tous les marchés darknet que nous pouvons voir à partir de 2019 et avant, probablement parce que les marchés à partir desquels nous avons obtenu ces données sont très anciens et peu connus. Nous ne pouvons pas évaluer si ces données sont réellement toujours disponibles via ces fournisseurs, mais ces publicités le font.
**Ces violations de données représentent-elles un risque à long terme ? **
Il est difficile d'essayer de quantifier le risque à long terme, mais vous pouvez au moins comparer le risque de perte de données aux événements non liés aux données dans cet échantillon. Notez que nous pouvons classer les risques d'événements de non-conformité qui n'entraînent que des pertes financières directes comme des risques plus faibles car :
La perte est immédiate, nous pouvons mesurer l'impact en termes de monnaie fiat ou Web3.0 perdue
Toutes les données perdues au cours de ce processus sont remplaçables. En cas de compromission, les clés privées, les mots de passe et les points d'accès réseau privilégiés doivent être modifiés pour résoudre le problème.
Les violations de violations qui entraînent la perte de données sensibles, en particulier les données des clients, présentent un risque plus important à long terme
Une grande partie de ces données est vendue ou disponible gratuitement sur le Web sombre ou clair, prolongeant ainsi leur disponibilité à long terme.
Les points de données personnelles des clients, c'est-à-dire les numéros de téléphone, prénoms/noms, adresses et données transactionnelles, sont difficiles ou impossibles à modifier. Ainsi, même si quelqu'un modifie ses informations personnelles à la suite d'une violation, toutes les données des autres personnes impliquées dans la violation sont toujours menacées.
L'impact de cette violation est difficile ou impossible à mesurer. Selon les données perdues, la victime peut ou non avoir été la cible de plusieurs escroqueries.
Nous avons trouvé des données à vendre dans une brèche en 2014. Ce point de données particulier est une preuve supplémentaire de la difficulté de mesurer le risque à long terme. Le piratage de 2014 qui a attaqué l'échange de crypto BTC-E, aujourd'hui disparu, qui a été saisi par les forces de l'ordre américaines en 2017 - présente en fait un risque beaucoup plus faible associé à la perte de données que d'autres.
Cependant, pour être clair, ** le risque reste permanent ** que ces données puissent correspondre à des données provenant de nouvelles violations, augmentant ainsi le risque à long terme pour les personnes participant au Web 3.0 pendant cette période.
En regardant l'espace dans son ensemble, les ** données perdues après 2019 ** (en particulier les données qui sont toujours facilement disponibles à la vente sur les marchés du darknet) présentent très probablement le risque à long terme le plus élevé. À partir de 2022, les personnes concernées courent presque certainement un risque important que leurs données soient utilisées pour des activités frauduleuses (même si elles ne peuvent pas être localisées physiquement). Malgré la fermeture de nombreux forums en ligne, nous devons supposer que toutes les données perdues, en particulier lors de récentes violations de données, sont probablement toujours disponibles quelque part et peuvent réapparaître à tout moment.
Écrivez à la fin
La réalité est que les failles de sécurité ne peuvent pas être éliminées à 100 %. Lorsque les données sont stockées et traitées par une entité centralisée, la plupart des utilisateurs touchés par une violation de données disposent de moyens limités pour y remédier.
Cependant, nous pouvons réduire le risque d'exposition en limitant l'utilisation des services centralisés, y compris les échanges centralisés. Les individus doivent également utiliser l'authentification à deux facteurs dans la mesure du possible pour aider à prévenir les activités indésirables du portefeuille d'échange ou l'utilisation de PII pour accéder ou modifier les détails du compte.
Selon la nature de la violation, nous pourrions même envisager d'essayer de modifier certaines des informations exposées dans la violation, telles que les adresses e-mail ou les numéros de téléphone.
Et dans une violation de données Web 3.0, si vous avez l'intention d'opérer de manière anonyme, votre identité sera alors confrontée à une menace supplémentaire de divulgation.
Il existe d'autres mesures que les gens peuvent prendre pour protéger les données et les investissements. Comme la réduction des investissements et des risques financiers en distribuant des actifs dans des portefeuilles en libre garde et des portefeuilles rigides.
Bien entendu, les données peuvent également être protégées par :