OpenSea, l’une des principales places de marché de tokens non fongibles (NFT), annonce avoir été victime d’une brèche de sécurité. Dans un courriel adressé à certains de ses utilisateurs, la plateforme révèle que l’un de ses fournisseurs tiers a souffert d’un « incident de sécurité qui pourrait avoir exposé des informations » sensibles, à savoir les clés API. OpenSea ne précise pas l’identité du partenaire qui a été visé par une attaque.
La clé API, ou clé d’interface de programmation, permet à une application ou un service en ligne d’accéder à des fonctionnalités ou à des données spécifiques sur un serveur d’OpenSea. Elle permet de connecter la plateforme à des services externes, tout en sécurisant l’accès. Ces services peuvent récupérer des informations sur les NFT émis sur la blockchain, comme le nombre d’offres ou les transactions liées, indique OpenSea sur son site.
À lire aussi : 95 % des NFT n’ont plus aucune valeur, et c’est tant mieux
La demande d’OpenSea aux clients touchés
L’incident n’affecte pas le fonctionnement des programmes qui s’appuient sur une clé API pour fonctionner. Par contre, la divulgation des clés de certains utilisateurs pourrait aboutir à une utilisation abusive de la part d’individus malveillants. De facto, OpenSea pourrait devoir limiter le débit et l’utilisation des clés, ce qui pénaliserait les usagers.
Par mesure de précaution, OpenSea recommande aux usagers de supprimer leur clé actuelle et d’en générer une nouvelle. La place de marché prévoit, par sécurité, de désactiver toutes les clés existantes dès le 2 octobre 2023. Cette mesure garantira qu’un tiers ne se sert pas d’une clé API subtilisée à un utilisateur.
OpenSea n’a pas divulgué combien d’utilisateurs ont été touchés par l’incident. De même, la plateforme ne précise pas si d’autres données, comme des informations personnelles, ont pu être subtilisées dans la foulée.
Une histoire qui se répète
Ce n’est pas la première fois qu’OpenSea essuie un problème de sécurité. L’an dernier, la plateforme révélait que les adresses mail de ses utilisateurs avaient été divulguées sur la toile. La place de marché mettait alors en garde ses usagers contre les messages de phishing visant à dérober leur collection de NFT.
Là encore, c’est un des partenaires d’OpenSea qui était à l’origine de la fuite. Un employé du « fournisseur de livraison de courrier électronique » avait en effet abusé du système « pour télécharger et partager des adresses e-mail ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : TheBlock