IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des utilisateurs de Coinbase, qui ont été escroqués de 21 Ms $, poursuivent l'entreprise pour négligence


Sujet :

Sécurité

  1. 04/11/2021, 16h57 #1
    Bill Fassinou
    Bill Fassinou est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 257
    Points
    66 257
    Par défaut Des utilisateurs de Coinbase, qui ont été escroqués de 21 Ms $, poursuivent l'entreprise pour négligence
    Des bots permettent aux pirates de pénétrer sans effort et de manière convaincante dans les comptes Coinbase, Amazon, PayPal et bancaires
    malgré l'utilisation de l'authentification à deux facteurs

    Une récente étude du média canado-américain Vice (Motherboard) suggère que le mécanisme d'authentification à deux facteurs (2FA) ne protège pas les utilisateurs aussi bien qu'on le croit. L'étude met en lumière une vulnérabilité de sécurité de l'utilisation de l'OTP (one-time password) par SMS pour la 2FA. Faisant preuve d'un nouveau niveau d'ingéniosité, les cybercriminels utilisent désormais des bots pour cibler Apple Pay, PayPal, Amazon, Coinbase et un large éventail de banques spécifiques, afin de voler les codes 2FA à usage unique, dans l'intention de prendre le contrôle du compte.

    Les bots OTP menacent l'authentification à deux facteurs

    Les services informatiques de tous les secteurs d'activité mènent une lutte constante pour protéger les réseaux d'entreprise contre les pirates et les fraudeurs. Les responsables de la cybersécurité emploient plusieurs méthodes pour assurer la sécurité et l'intégrité des données des organisations, dont l'une des plus populaires est l'authentification à deux facteurs (2FA). L'authentification à deux facteurs offre un niveau de protection supplémentaire pour les comptes d'utilisateur qui, sans être inexpugnable, réduit considérablement le risque d'accès non autorisé et de violation du système.

    Nom : card linked to apple pay - blurred.png Affichages : 47175 Taille : 360,1 Ko

    L'utilisation de la 2FA est étonnamment faible parmi les utilisateurs finaux, tant dans les environnements d'entreprise que dans la communauté des utilisateurs au sens large. Google, par exemple, a révélé au début de l'année que très peu d'utilisateurs de Gmail ont activé les mesures de sécurité 2FA disponibles pour protéger leur compte. La société a ensuite annoncé qu'il prévoyait de faire passer de force le plus grand nombre possible d'utilisateurs à la 2FA. Elle a donné plus de détails en octobre, disant qu'elle prévoyait d'inscrire automatiquement 150 millions de comptes Gmail à l'authentification à deux facteurs d'ici la fin de l'année.

    Outre Google, plusieurs autres entreprises de services en ligne - notamment Facebook, Apple, PayPal, etc. - encouragent leurs utilisateurs à activer la 2FA. Toutefois, même si la plupart de ces entreprises plébiscitent la 2FA, elles sont conscientes qu'elle n'est pas inviolable. L'étude de Motherboard, intitulé "The Booming Underground Market for Bots That Steal Your 2FA Codes", a exposé une vulnérabilité de sécurité de l'utilisation de l'OTP par SMS pour la 2FA. Elle a révélé que les cybercriminels se servent désormais de ce que l'équipe de recherche appelle "les bots OTP" pour renforcer leur stratégie de prise de contrôle des comptes.

    Ils ne se contentent plus d'utiliser des bots pour automatiser la tâche consistant à tester d'énormes volumes d'informations d'identification volées dans le cadre d'attaques par bourrage d'informations d'identification. Selon les chercheurs, l'utilisation de bots OTP augmente le risque de prise de contrôle de comptes, car les applications utilisant le protocole OTP par SMS comme authentification à deux facteurs peuvent également être compromises. L'étude estime que le protocole OTP par SMS ne fait que créer une illusion de sécurité.

    Mais qui est exposé au risque des bots OTP ? Dans une récente étude d'Incognia, une entreprise de cybersécurité, sur les méthodes d'authentification utilisées par les principales applications mobiles bancaires et fintech, la grande majorité des applications (17 sur 20) s'appuient toujours sur le protocole OTP par SMS pour l'authentification à deux facteurs. Cela signifie que les bots OTP représentent une menace pour de nombreuses applications de services financiers de premier plan.

    Quel est le mode de fonctionnement des bots OTP ?

    Selon l'étude, les cybercriminels utilisent désormais des outils automatisés pour contacter les utilisateurs en leur faisant croire qu'ils sont contactés par l'entreprise. À l'aide de scripts automatisés transmis par la voix ou le texte, le bot OTP demande à l'utilisateur de partager le mot de passe à usage unique qui lui a été envoyé pour vérifier la sécurité de son compte - au lieu de cela, le bot OT l'utilise pour accéder au compte de l'utilisateur et en prendre le contrôle. Voici un exemple typique qui a été repéré par l'équipe de recherche.



    Un détenteur d'un compte PayPal a reçu un appel prétendument provenant du système de prévention des fraudes de la société. La voix au bout du fil lui a notifié que quelqu'un avait essayé d'utiliser son compte pour dépenser 58,82 dollars. PayPal devait donc vérifier son identité pour bloquer le transfert. « Afin de sécuriser votre compte, veuillez saisir le code que nous avons envoyé à votre appareil mobile maintenant », a déclaré la voix. PayPal envoie parfois un code par SMS aux utilisateurs afin de protéger leur compte. Après avoir saisi une chaîne de six chiffres, la voix a dit : « Merci, votre compte a été sécurisé et cette demande a été bloquée ».

    « Ne vous inquiétez pas si un paiement a été débité sur votre compte : nous le rembourserons dans les 24 à 48 heures. Votre numéro de référence est 1549926. Vous pouvez maintenant raccrocher », a ajouté la voix. Cependant, l'appel ne provenait pas de PayPal, mais d'un pirate informatique. Le fraudeur a utilisé un type de bot qui simplifie considérablement le processus permettant aux pirates de tromper les victimes en leur faisant donner leurs codes d'authentification multifactorielle ou leurs mots de passe à usage unique pour toutes sortes de services, les laissant se connecter ou autoriser des transferts d'argent.

    L'équipe de recherche a déclaré que divers bots ciblent Apple Pay, PayPal, Amazon, Coinbase et un large éventail de banques spécifiques. Lors d'un test, Motherboard a demandé à un dénommé Kaneki, qui vendait l'un de ces bots en ligne, de faire une démonstration en envoyant un appel automatique sur le téléphone d'un journaliste de Motherboard. Après avoir entré un code, Kaneki a montré que son bot avait reçu le même code. « Le bot est idéal pour les personnes qui n'ont pas de compétences en ingénierie sociale. Vous savez, tout le monde n'est pas à l'aise et persuasif au téléphone », a déclaré un autre pirate informatique.

    Avec ces bots qui coûtent quelques centaines de dollars, n'importe qui peut commencer à contourner l'authentification multifactorielle, une mesure de sécurité que de nombreuses personnes peuvent supposer être largement sécurisée. L'étude indique que l'existence et la popularité croissante de ces bots soulèvent la question de savoir si les services en ligne doivent proposer des formes d'authentification plus résistantes à l'hameçonnage pour protéger les utilisateurs. Pour s'introduire dans un compte, un pirate a besoin du nom d'utilisateur ou de l'adresse électronique et du mot de passe de la victime.

    Sur Telegram ou Discord, le pirate entre le numéro de téléphone de sa cible et la plateforme sur laquelle il souhaite s'introduire. En arrière-plan, le robot passe l'appel automatisé à la cible. Kaneki a déclaré que les bots utilisent des sites similaires à Twilio, une société de communication pour les entreprises qui permet aux clients d'envoyer des messages et de passer des appels, bien que Kaneki ait dit que tous les bots n'utilisent pas Twilio spécifiquement. Cris Paden, directeur des communications d'entreprise chez Twilio, a confirmé que Twilio est au courant que les bots OTP utilisent sa plateforme.

    «Nous avons une équipe en place qui est bien consciente de ce problème et le surveille activement. Dès qu'ils ont connaissance d'un cas, ils enquêtent immédiatement et prennent des mesures, y compris la fermeture du numéro et du compte utilisé si nécessaire », a ajouté Paden. Outre les sites ou services tels qu'Amazon, PayPal et Venmo, certains bots ciblent également des banques spécifiques, comme Bank of America et Chase Bank. Par ailleurs, ils seraient également en mesure d'obtenir des codes générés par une application mobile d'authentification multifacteurs, comme Google Authenticator.

    Faut-il abandonner l'utilisation de l'OTP par SMS ?

    Les utilisateurs sont-ils en train de perdre le combat pour protéger leurs comptes ? L'étude estime que pour les utilisateurs, le niveau d'expertise en matière de sécurité nécessaire pour rester en sécurité en ligne ne fait qu'augmenter. Pour se protéger contre l'ingénierie sociale, les utilisateurs doivent désormais être conscients non seulement des cybercriminels, mais aussi des bots automatisés. Mais est-il raisonnable d'attendre de chaque utilisateur qu'il soit un expert en sécurité et est-ce la faute des utilisateurs ou celle des entreprises qui doivent améliorer leur niveau de sécurité ?

    Nom : dre.png Affichages : 7584 Taille : 437,2 Ko

    En effet, l'OTP par SMS est connu pour être vulnérable. L'OTP par SMS est connu comme une méthode vulnérable d'authentification à deux facteurs depuis un certain temps. Dès 2016, le NIST (National Institute of Standards and Technology), une entité du département du Commerce des États-Unis, a proposé de "déprécier" l'OTP par SMS comme forme d'authentification, et a essuyé quelques critiques pour cette suggestion. À l'époque, le NIST a abordé ses préoccupations en matière de sécurité concernant l'OTP par SMS dans son blogue sur la cybersécurité dans le cadre de la période de commentaires publics.

    « Les chercheurs en sécurité ont démontré le succès croissant de la redirection ou de l'interception de SMS en masse. Il ne s'agit pas seulement de la vulnérabilité de quelqu'un qui vole votre téléphone, mais aussi du fait que les SMS envoyés à l'utilisateur peuvent être lus par un acteur malveillant sans avoir mis la main sur votre téléphone. En raison de ces risques, nous décourageons l'utilisation des SMS comme "authentifiant hors bande" - qui est, essentiellement, une méthode pour délivrer un code à usage unique pour l'authentification multifactorielle » a déclaré le NIST à l'époque.

    Cinq ans plus tard, le protocole OTP par SMS est toujours utilisé, et toujours vulnérable. Pourquoi les entreprises n'ont-elles pas mis à jour plus rapidement leurs méthodes d'authentification ? En effet, dans de nombreux cas, c'est parce qu'une sécurité accrue s'accompagne de frictions supplémentaires, et pour les utilisateurs de téléphones portables, les frictions sont la principale raison pour laquelle ils changent de service. Cependant, avec la récente violation de compte chez Coinbase qui a exploité la vulnérabilité de l'OTP par SMS, la priorité de la mise en œuvre d'une authentification plus forte est devenue un impératif.

    « Les cybercriminels cherchent constamment de nouveaux moyens d'escroquer les gens et ce bot voleur de code OTP/2FA n'est qu'un exemple de plus de la créativité des fraudeurs. Il convaincrait de nombreuses victimes peu méfiantes de donner leurs codes OTP/2FA et le cybercriminel n'a même pas besoin d'être un ingénieur social qualifié, il peut simplement utiliser ce bot pour tenter de prendre le contrôle d'un compte », a déclaré Rachel Tobac, PDG et cofondatrice de la société de cybersécurité SocialProof Security. Selon d'autres sources, les cybercriminels ajoutent constamment de nouvelles capacités à ces bots.

    Jessica Barker, cofondatrice de la société de cybersécurité Cygenta, a déclaré que l'utilisation des bots OTP/2FA est troublante, car elle permet aux criminels de réaliser plus facilement leurs escroqueries et nous rend plus vulnérables. « Nous sommes devenus tellement plus habitués à ce que des systèmes automatisés communiquent avec nous, que cela devient plus convaincant. Ajoutez à cela la manipulation classique par la peur et les petites touches comme le code de référence et la nécessité de ne pas s'inquiéter des paiements non autorisés qui passent, et cela devient encore plus persuasif », a-t-elle fait remarquer.

    Source : Le NIST

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous des bots voleurs de code OTP/2FA ?
    Selon vous, de quels moyens dispose-t-on pour se protéger contre ce type d'attaque ?
    Pensez-vous que l'OPT par SMS est une méthode d'authentification qu'il faut déprécier dans l'immédiat ?
    Y a-t-il des alternatives plus sécurisées à l'OTP par SMS ? Sont-elles faciles à mettre en œuvre pour les utilisateurs ?

    Voir aussi

    Google va activer l'authentification à deux facteurs par défaut pour des millions d'utilisateurs d'ici la fin de l'année pour mieux protéger l'accès à vos contacts

    Malgré l'authentification à deux facteurs, il se fait voler de l'argent sur son compte Uber, qui ne le rembourse pas en intégralité

    Sécurité : Apple veut normaliser le format des SMS contenant des codes d'accès à usage unique (OTP) pour automatiser le processus de réception et de saisie via un navigateur ou une appli

    Microsoft estime que l'utilisation de l'authentification multifacteur bloque 99,9% des piratages de comptes et encourage les utilisateurs à l'adopter
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   5  0
  2. 11/11/2021, 07h45 #2
    cdubet
    cdubet est déconnecté
    Membre confirmé
    Profil pro
    Inscrit en
    Février 2007
    Messages
    229
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Février 2007
    Messages : 229
    Points : 543
    Points
    543
    Par défaut le pb est entre la chaise et le clavier
    si l utilisateur est assez c.. pour donner le code, n importe quel systeme sera mit en defaut
    Répondre avec citation Répondre avec citation   2  1
  3. 11/11/2021, 10h58 #3
    L20160915H
    L20160915H est déconnecté
    Nouveau Candidat au Club
    Homme Profil pro
    ingénieur
    Inscrit en
    Septembre 2016
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : ingénieur

    Informations forums :
    Inscription : Septembre 2016
    Messages : 1
    Points : 1
    Points
    1
    Par défaut BOT
    A tout système de sécurité, il faut le relier à son utilisateur final qui représente en fait le risque majeur de la faille.
    Répondre avec citation Répondre avec citation   0  0
  4. 17/11/2021, 14h39 #4
    Christian_B
    Christian_B est déconnecté
    Membre éclairé Avatar de Christian_B
    Homme Profil pro
    Retraité
    Inscrit en
    Octobre 2016
    Messages
    288
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Octobre 2016
    Messages : 288
    Points : 679
    Points
    679
    Par défaut
    Citation Envoyé par cdubet Voir le message
    si l utilisateur est assez c.. pour donner le code, n importe quel systeme sera mit en defaut
    Je te trouve bien méprisant pour ceux qui n'ont pas les mêmes centres d'intérêt que toi (et sans doute que les participants à un forum comme celui-ci).
    Est-ce que tu dirais, par exemple, qu'un peintre de talent (ou autres personnes de ton choix ne manquant pas de qualités), mais peu à l'aise avec l'informatique est "assez con" ? Je trouve que c'est assez ... non je ne le dirai pas.

    Tout le monde n'est pas supposé avoir le sens de la technique, d'autant plus que cela évolue vite.
    Et le plus souvent, l'utilisation d'appareils divers accédant à internet ne s'accompagne pas de la moindre formation ou même information. Un téléphone 3g (maintenant sans doute inévitable si on ne veut pas de l'occasion) n'est même plus vendu avec une notice d'utilisation.
    De même, la mise en service (disons par une banque) de l'authentification par SMS ou ses utilisations ne s'accompagnent pas forcément (à supposer que cela arrive) d'un avertissement simple et clair bien mis en évidence sur le seul emploi correct du code envoyé et le danger de toute autre utilisation. C'est plus simple que de donner de longues explications sur tout ce qu'il ne faut pas faire.

    Si des services qui ne sont pas pensés en fonction des utilisateurs et des risques créent des problèmes, c'est sûrement la faute des utilisateurs.
    Si un avion mal conçu ou bogué se crashe, c'est sûrement la faute du pilote, etc
    Linux Mint 21.3 Mate 1.26.
    Les armes nucléaires sont interdites depuis le 22 janvier 2021. Y a plus qu'à ...
    Répondre avec citation Répondre avec citation   3  1
  5. 17/11/2021, 14h44 #5
    Christian_B
    Christian_B est déconnecté
    Membre éclairé Avatar de Christian_B
    Homme Profil pro
    Retraité
    Inscrit en
    Octobre 2016
    Messages
    288
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Octobre 2016
    Messages : 288
    Points : 679
    Points
    679
    Par défaut rectification
    Pardon, je voulais dire "un téléphone 4g". Ou dirait que moi aussi j'ai du mal à suivre
    Linux Mint 21.3 Mate 1.26.
    Les armes nucléaires sont interdites depuis le 22 janvier 2021. Y a plus qu'à ...
    Répondre avec citation Répondre avec citation   1  0
  6. 18/10/2022, 23h04 #6
    Stéphane le calme
    Stéphane le calme est déconnecté
    Chroniqueur Actualités
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 456
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 456
    Points : 197 830
    Points
    197 830
    Par défaut Des utilisateurs de Coinbase, qui ont été escroqués de 21 Ms $, poursuivent l'entreprise pour négligence
    Des utilisateurs de Coinbase, qui ont été escroqués de 21 Ms $, poursuivent l'entreprise pour négligence.
    Ils sont près de 100 utilisateurs poursuivent Coinbase pour avoir prétendument négligé une faille de sécurité

    L'automne dernier, des escrocs ont infiltré des plateformes sociales telles que des applications de rencontres, WhatsApp, Facebook et Twitter, tentant de convaincre les internautes de télécharger Coinbase Wallet. Une fois que les utilisateurs ciblés téléchargent le portefeuille, l'escroc envoie alors des liens vers des sites Web frauduleux, incitant les utilisateurs à acheter un « bon » qui semble être une transaction sécurisée protégée et facilitée par la plateforme de confiance de Coinbase, mais est « en fait un contrat intelligent malveillant ». Des utilisateurs horrifiés ont finalement découvert que le contrat intelligent donnait « aux escrocs un accès complet à l'intégralité des fonds dans les portefeuilles de la victime » sans avoir besoin d'autorisations pour retirer des fonds.

    Aujourd'hui, près de 100 personnes dans le monde cherchent à faire payer Coinbase, l'une des plus grandes plateformes de trading d'actifs crypto au monde, pour n'avoir prétendument rien fait pour protéger les utilisateurs. Les utilisateurs allèguent que Coinbase n'a pas été ému par les informations selon lesquelles les escrocs vidaient des comptes de dizaines ou de centaines de milliers de dollars de crypto-monnaie. Au total, les utilisateurs de Coinbase Wallet qui poursuivent collectivement l'entreprise ont perdu 21 millions de dollars.

    Pendant des mois, les utilisateurs auraient averti l'entreprise de cette apparente faille de sécurité. Au lieu d'agir pour protéger les utilisateurs, cependant, Coinbase « n'a pris aucune mesure pour corriger la faille de sécurité ou même avertir les clients de ce problème majeur, bien qu'ils aient averti les clients d'autres risques de sécurité », selon une demande d'arbitrage récemment déposée. Cela aurait permis à des « centaines » d'utilisateurs supplémentaires de devenir la cible d'une escroquerie de pool d'extraction de liquidités « facilement évitable ».

    « Ils n'ont même pas semblé essayer de prendre des mesures », a déclaré Eric Rosen, avocat de Roche Freedman LLP, le cabinet d'avocats représentant les utilisateurs, au Washington Post. « Bien sûr, les escrocs ont rapidement compris cela et ont littéralement demandé aux victimes de télécharger le portefeuille Coinbase ».

    Les pools d'extraction de liquidités légitimes promettent des rendements élevés aux utilisateurs qui achètent des bons pour de petites sommes, ce qui les rend attrayants pour les nouveaux utilisateurs de crypto, mais pour les utilisateurs de Coinbase Wallet, « cliquer sur ces bons d'apparence inoffensive enregistrerait une seule ligne de code informatique accordant aux escrocs l'autorisation de voler la crypto déposée sur un compte, des semaines ou des mois plus tard », a rapporté le Post.

    Ce cas est différent des autres escroqueries crypto qui incitent les utilisateurs à autoriser des transactions frauduleuses. Les demandeurs allèguent que les conditions d'utilisation de Coinbase n'ont jamais mis en garde contre le risque, assurant aux utilisateurs que seul le partage d'un mot de passe secret pourrait compromettre un compte.

    Coinbase est une grande enseigne dans le monde de la crypto, qui vante régulièrement ses fonctionnalités de sécurité, mais la demande d'arbitrage indique que « les escrocs ont dirigé les clients vers le portefeuille Coinbase en raison de sa sécurité désastreuse ». Plutôt que d'agir sur la base de ces informations, Coinbase aurait attendu six mois avant de prendre des mesures pour empêcher davantage d'utilisateurs d'être victime d'une arnaque.

    Nom : base.png Affichages : 2606 Taille : 35,2 Ko

    La réponse de Coinbase

    Depuis que l'entreprise a été menacé de poursuites judiciaires pour la première fois, Coinbase a changé ses habitudes et fournit désormais des avertissements aux utilisateurs « lorsqu'un site Web demande l'autorisation de retirer une énorme somme d'argent d'un compte », a rapporté le Post. Ce type d'avertissement était déjà d'usage sur les produits concurrents, comme MetaMask et Trust Wallet.

    « À notre avis, il s'agit en fait d'un aveu que Coinbase ne faisait pas assez pour protéger ses clients auparavant », a déclaré Jordana Haviv, une autre avocate de Roche Freedman pour les demandeurs. Selon elle, dans les semaines ou peut-être les mois à venir, un arbitre sera sélectionné et Coinbase aura alors la possibilité de répondre aux allégations, puis la découverte pourra le processus sera enclenché.

    Les utilisateurs qui poursuivent Coinbase espèrent que l'arbitrage se terminera par la récupération longtemps recherchée des fonds perdus, qui pour certains représentaient l'ensemble de leurs économies. Ils veulent également que Coinbase compile une liste de tous les comptes touchés par l'arnaque.

    Coinbase a déclaré que ses produits fonctionnent déjà pour empêcher les arnaques à l'extraction de liquidités.

    « Coinbase s'engage à protéger ses clients contre les escroqueries, les fraudes et autres crimes et a investi des ressources importantes dans la protection des utilisateurs contre les arnaques à l'extraction de liquidités », a déclaré la porte-parole de Coinbase, Lisa Johnson. La société semble maintenir qu'elle n'est pas responsable du vol de crypto-monnaie en raison de failles de sécurité dans son produit Wallet (la même réponse qu'elle a donnée aux utilisateurs qui la poursuivent maintenant lorsqu'ils ont signalé l'activité frauduleuse).

    « Les activités d'un client sur Coinbase Wallet, y compris la gestion des clés de sécurité privées du portefeuille et l'accès au contenu du portefeuille, sont exclusivement contrôlées par le client, et non par Coinbase », a déclaré Johnson. « C'est pourquoi Coinbase propose à ses clients plusieurs offres de produits, afin qu'ils puissent choisir les produits qui leur conviennent le mieux ».

    Nom : coinbase.png Affichages : 2033 Taille : 143,3 Ko

    Plaintes du service client Coinbase

    La demande d'arbitrage décrit comment les utilisateurs poursuivant Coinbase se sont plaints qu'au lieu d'enquêter sur le problème, Coinbase leur a envoyé une spirale sans fin de réponses automatisées. N'atteignant jamais un véritable représentant du service client de Coinbase, les utilisateurs n'avaient la possibilité que d'interagir avec des robots présumés qui semblaient programmés pour nier la responsabilité de Coinbase, refuser les remboursements et insister sur le fait que les utilisateurs eux-mêmes avaient clairement compromis leurs propres comptes, allant même parfois jusqu'à « déclarer à tort que les 12 mots des phrases de départ des clients avaient été compromis et que Coinbase ne pouvait rien faire à propos des fonds manquants ». Pour mémoire, Coinbase Wallet génère une phrase de récupération de 12 mots, également appelée phrase de départ, à laquelle vous et vous seul avez accès. Cela signifie que si vous perdez votre phrase de récupération, vous perdrez l'accès à votre portefeuille Coinbase.

    Mais les phrases de départ de personne n'ont été compromises, et au fur et à mesure que de nouveaux rapports arrivaient, Coinbase s'en tenait à ses affirmations, insistant sur le fait que la phrase de départ « est le seul moyen d'accéder à la crypto-monnaie » dans un portefeuille Coinbase. Bien que les utilisateurs aient envoyé des URL spécifiques à Coinbase et des noms d'applications décentralisées (également appelées dapps) qui les ont escroqués, « Coinbase n'a même pas bloqué ou supprimé les dapps malveillants », indique la demande d'arbitrage.

    Les utilisateurs qui poursuivent l'entreprise disent que la décision de Coinbase d'externaliser son service client alors que sa base d'utilisateurs augmentait rapidement était un risque calculé que la société a pris, disant aux investisseurs dans un dossier de la Securities and Exchange Commission des États-Unis que ses moyens de recherche de profit pourraient avoir un impact sur la sécurité des produits.

    À un moment donné au cours de l'année écoulée, un utilisateur a échangé des e-mails avec le service client de Coinbase avant de cliquer sur le bon. Cet utilisateur n'a cliqué que sur le bon, dit-il, après que ce représentant lui a assuré que le seul moyen pour quiconque d'accéder à son portefeuille était avec sa phrase de départ de 12 mots. Convaincu que sa phrase de départ n'a pas été compromise, l'utilisateur a cliqué et est devenu la prochaine victime d'escroquerie, perdant 60 000 $ en crypto-monnaie Tether, malgré ses tentatives de prudence.

    Un autre utilisateur poursuivant l'entreprise a reçu un rare message du service client de Coinbase confirmant que sa phrase de départ n'avait pas été compromise. Le message informait l'utilisateur que « l'activité non autorisée que vous avez signalée semble résulter d'une transaction signée qui a autorisé un tiers malveillant à transférer des fonds depuis votre portefeuille ». Même si Coinbase reconnaît que c'était « non autorisé », le représentant a soutenu que Coinbase n'était pas responsable. « Il est de la responsabilité du client d'examiner les détails de la dapp avec laquelle il interagit et de comprendre le risque lorsqu'il interagit avec elle », a déclaré Coinbase à l'utilisateur, l'informant qu'il aurait dû révoquer l'accès accordé après avoir cliqué sur le bon pour empêcher le retrait.

    « Maintenant que j'ai perdu les fonds, il est trop tard pour m'informer que je devais révoquer cet accès caché sous une transaction d'apparence tout à fait normale », a répondu l'utilisateur, dans ce qui est devenu sa dernière correspondance avec Coinbase à ce sujet.

    Ce n'est qu'après que Roche Freedman a envoyé à Coinbase un brouillon de sa plainte que Coinbase a « immédiatement » publié des avertissements sur « de nombreux dapps frauduleux qui volaient l'argent de ses clients ».

    « Si le portefeuille avait simplement informé les utilisateurs de ce que le dapp demandait réellement de faire, au lieu de le cacher aux utilisateurs, rien de tout cela ne se serait probablement produit », indique la demande d'arbitrage.

    Délit d'initié d'un dirigeant de Coinbase

    En juillet, nous avons présenté cette situation où un ancien gestionnaire de Coinbase, son frère et un ami ont été inculpés de complot et de fraude télégraphique dans le cadre du tout premier délit d'initié en cryptomonnaies. Ishan Wahi, un ex-gestionnaire de produits chez Coinbase Global âgé de 32 ans qui vit à Seattle, dans l'État de Washington, et son frère Nikhil Wahi, âgé de 26 ans, également de Seattle, ont été arrêtés en juillet. Un troisième co-conspirateur, Sameer Ramani, 33 ans, de Houston, Texas, était toujours en fuite. Nikhil Wahi a effectué des transactions sur la base des conseils d'un ancien employé de Coinbase concernant des actifs cryptographiques qui allaient être cotés sur les bourses de Coinbase.

    Damian Williams, procureur des États-Unis pour le district sud de New York, a annoncé en septembre que NIKHIL WAHI, le frère d'un ancien chef de produit de Coinbase Global, a plaidé coupable d'un chef d'accusation de conspiration en vue de commettre une fraude électronique dans le cadre d'un plan visant à commettre un délit d'initié sur des actifs cryptographiques en utilisant des informations confidentielles de Coinbase concernant les actifs cryptographiques dont la cotation était prévue sur les bourses de Coinbase. WAHI a été arrêté en juillet de cette année et a plaidé coupable devant le juge de district américain Loretta A. Preska.

    Le procureur américain Damian Williams a déclaré : « Moins de deux mois après son inculpation, Nikhil Wahi a admis aujourd'hui devant le tribunal qu'il a négocié des cryptoactifs sur la base d'informations commerciales confidentielles de Coinbase auxquelles il n'avait pas droit ». Pour la toute première fois, un accusé a reconnu sa culpabilité dans une affaire de délit d'initié impliquant les marchés des cryptomonnaies.

    Nikhil Wahi attend maintenant de connaître sa peine pour son crime et doit également renoncer à ses profits illicites. Cette affaire concerne un délit d'initié portant sur certains titres d'actifs cryptographiques que Coinbase a annoncé comme devant être « listés », ou rendus disponibles pour le commerce, sur sa plateforme de commerce d'actifs cryptographiques.

    De juin 2021 à avril 2022 au moins, Ishan Wahi, un gestionnaire du groupe Actifs et produits d'investissement de Coinbase, a transmis à plusieurs reprises des informations matérielles non publiques sur le calendrier et le contenu des « annonces de cotation » de Coinbase, dans lesquelles Coinbase annonçait que des actifs cryptographiques seraient cotés sur sa plateforme de négociation à son frère Wahi Nikhil ainsi qu'à son ami proche Sameer Ramani.

    Source : demande d'arbitrage

    Et vous ?

    À qui incombe, selon vous, la responsabilité ici ? À Coinbase, qui a assuré que le seul moyen pour quiconque d'accéder à un portefeuille est avec sa phrase de départ de 12 mots ? Ou aux utilisateurs, qui doivent « examiner les détails de la dapp avec laquelle il interagit et de comprendre le risque lorsqu'il interagit avec elle » ? Pourquoi ?
    Que pensez-vous de la réaction de Coinbase ?

    Voir aussi :

    Il se fait voler 100 000 $ de son compte Coinbase par des pirates qui ont pu violer l'authentification à deux facteurs
    Coinbase prévient qu'en cas de faillite les utilisateurs pourraient perdre l'accès à leurs fonds, car ils deviendraient des créanciers non garantis
    Le frère d'un dirigeant de Coinbase plaide coupable dans une affaire de délit d'initié en cryptomonnaie, Ishan Wahi, ancien membre du personnel avait précédemment plaidé non coupable
    Des pirates informatiques ont dérobé les comptes d'au moins 6 000 clients de Coinbase, en exploitant une faille dans le processus de récupération des comptes par SMS
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   7  0
Actualités
  • Accueil
  • Forum
  • Systèmes
  • Sécurité
  • Des utilisateurs de Coinbase, qui ont été escroqués de 21 Ms $, poursuivent l'entreprise pour négligence
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Faut-il continuer à utiliser les questions de sécurité pour protéger les comptes des utilisateurs ?
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 6
    Dernier message: 23/05/2015, 18h35
  2. Problème avec les comptes utilisateur sans mot de passe
    Par andrianiaina dans le forum Windows XP
    Réponses: 8
    Dernier message: 16/04/2011, 08h05
  3. Copier 2 bases Access sans modifier le nom des atributs dans les tables
    Par razily dans le forum Access
    Réponses: 1
    Dernier message: 10/06/2010, 08h03
  4. Rétrograder un serveur de domaine sans perdre les comptes
    Par Poong dans le forum Windows Serveur
    Réponses: 1
    Dernier message: 15/09/2009, 11h23
  5. Les Comptes d'utilisateurs refusent de s'ouvrir
    Par scorplayer dans le forum Windows XP
    Réponses: 13
    Dernier message: 15/09/2007, 12h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo