La faille de sécurité tierce d’OpenSea laisse les utilisateurs d’API vulnérables
OpenSea, un important marché NFT, a émis un avertissement à un sous-ensemble de ses utilisateurs, les invitant à alterner leurs clés d’interface de programmation d’application (API). L’avertissement intervient après qu’une faille de sécurité impliquant un fournisseur tiers a potentiellement laissé leurs clés exposées.
L’entreprise a abordé la situation de manière e-mail envoyé à ses clients, indiquant : « L’un de nos fournisseurs a rencontré un incident de sécurité qui peut avoir exposé des informations sur votre clé API OpenSea. »
En mai 2023, OpenSea détenait la deuxième plus grande part du marché des jetons non fongibles (NFT), représentant 36,5 % du volume des transactions. Alors qu’OpenSea était autrefois le leader du marché, il est à la traîne derrière Blur, lancé il y a près d’un an et détenait 56,8 % du marché en mai 2023.
OpenSea a demandé aux utilisateurs concernés de cesser rapidement d’utiliser leurs clés API actuelles et de les remplacer par de nouvelles. Ces clés existantes devraient expirer le lundi 2 octobre, selon l’e-mail.
Alors qu’OpenSea a assuré aux utilisateurs que la faille de sécurité ne devrait pas avoir un « effet immédiat » sur les intégrations de leur plate-forme, la société a averti qu’un accès tiers non autorisé pourrait potentiellement avoir un impact sur les tarifs alloués aux utilisateurs et les limites d’utilisation. La société a ajouté : « Les clés API nouvellement générées auront les mêmes autorisations et limites de débit que les clés expirant. »
OpenSea n’a pas divulgué le nombre exact d’utilisateurs concernés par la violation ni si d’autres données que les clés API pourraient être menacées.
Cet incident de sécurité fait suite à une violation similaire impliquant Nansen, une plateforme d’analyse en chaîne. Nansen a révélé que l’un de ses fournisseurs tiers avait été compromis, entraînant la divulgation des adresses blockchain, des hachages de mots de passe et des adresses e-mail des utilisateurs. Environ 6,8 % de la base d’utilisateurs de Nansen a été affectée par la violation.
Bien qu’OpenSea n’ait pas identifié nommément le fournisseur concerné, Nansen a indiqué que le fournisseur est « utilisé par de nombreuses sociétés Fortune 500 ».
Ce n’est notamment pas la première fois qu’OpenSea est confronté à des problèmes de sécurité. L’année dernière, la plateforme a connu une fuite des adresses e-mail de ses clients en raison d’une erreur d’un employé alors qu’il travaillait avec son partenaire de livraison de courrier électronique, Customer.io. Ces compromissions de courrier électronique sont souvent exploitées par des attaquants pour exécuter des escroqueries par phishing. De plus, le serveur Discord d’OpenSea a été piraté en mai 2022, des pirates faisant la promotion d’une fausse menthe NFT prétendant être en partenariat avec YouTube.
La faille de sécurité tierce d’OpenSea laisse les utilisateurs d’API vulnérables apparaît en premier sur CryptoSlate.