Waltio, plateforme fiscale française de crypto-monnaie, impliquée dans des affaires d'extorsion et de violations de données

Chapô : Waitio, la plateforme de gestion fiscale pour les cryptomonnaies, a récemment subi une violation de données par le groupe de piratage Shiny Hunters. Cette attaque pourrait avoir compromis les informations personnelles et financières d’environ 50 000 utilisateurs, notamment des adresses e-mail et des historiques de transactions. Bien que les fonds des utilisateurs soient protégés grâce à l’utilisation de clés API « en lecture seule », le risque d’usurpation d’identité reste élevé.

La violation de données chez Waitio

Waitio a été ciblé par le groupe de hackers connu sous le nom de Shiny Hunters, qui est actif depuis longtemps dans diverses attaques contre des entreprises, y compris des géants technologiques et des détaillants. Dans cette récente violation, les pirates ont eu accès à une base de données contenant les informations personnelles d’environ 50 000 utilisateurs.

Les données volées comprennent non seulement les adresses e-mail, mais aussi les soldes de comptes et un historique détaillé des transactions. Ces informations sont cruciales pour comprendre la situation financière d’un utilisateur sur la blockchain.

Les hackers ont lancé une demande active de rançon et menacent de rendre publiques ces informations ou même de les vendre sur le dark web si leur exigence n’est pas satisfaite.

Pourquoi Waitio est une cible privilégiée pour les cybercriminels

Waitio agit comme un « assistant crypto » pour plus de 60 000 utilisateurs en France et ailleurs, facilitant le calcul des plus-values fiscales et la génération des déclarations nécessaires. Les clients connectent leurs plateformes d’échange via API ou téléchargent leurs adresses numériques afin que Waitio puisse stocker toutes ces informations dans sa base.

Bien que Waitio ne puisse pas directement déplacer l’argent au nom des utilisateurs, ces données sont extrêmement précieuses pour les criminels. Connaître précisément la quantité d’actifs numériques qu’un utilisateur possède permet aux hackers d’exécuter ce qu’on appelle du spear phishing, où ils peuvent envoyer un faux avis fiscal adapté aux actifs spécifiques du ciblé.

Une fuite comme celle-ci peut également engendrer un danger physique réel envers certains individus fortunés. Des incidents similaires se sont déjà produits en Europe au cours dernière année, mettant ainsi en lumière la gravité du problème.

Clarification entre sécurité des données et protection des actifs

Il est essentiel que les utilisateurs comprennent la distinction entre leurs données personnelles et leurs actifs financiers réels. Grâce à son système sécurisé utilisant des clés API « en lecture seule », Waitio garantit que même si ses systèmes étaient compromis, cela ne permettrait pas aux hackers d’effectuer directement des transactions telles que « envoyer » ou « retirer ».

Cela dit, il y a toujours un danger concernant l’identité personnelle ; désormais exposées sont non seulement les adresses e-mails mais aussi la résidence fiscale ainsi que la richesse totale détenue par plusieurs milliers d’utilisateurs.

Même ceux qui utilisent un portefeuille matériel synchronisé avec Waitio voient leurs informations compromises dans cette violation massive.