Incident de sécurité chez Transak : les pièces d’identités concernées

Posted On 28 Oct 2024

Tag: fuite pièce d'identité, leak id, Transak

Le spécialiste de l’achat et de la vente de cryptomonnaie Transak se retrouve face à une fuite de données impactant les données des utilisateurs, dont leur pièce d’identité et vidéo de confirmation d’inscription.

Transak est une plateforme web qui permet aux utilisateurs d’acheter et de vendre des cryptomonnaies de manière simplifiée, en intégrant des solutions de paiement fiat-to-crypto pour de nombreux services décentralisés, comme les portefeuilles de cryptomonnaie et les applications décentralisées (dApps). Concrètement, Transak sert de passerelle entre les monnaies traditionnelles (fiat) et les actifs numériques, en offrant aux utilisateurs la possibilité d’acquérir des cryptomonnaies en utilisant des méthodes de paiement classiques comme les cartes de crédit, virements bancaires, ou autres options locales de paiement.

Transak vient d’alerter ses utilisateurs à la suite d’une exfiltration de données malveillantes. Un incident de sécurité impactant 1,14 % de la base d’utilisateurs, soit 92 554 personnes. L’incident provenait d’un accès non autorisé au poste de travail d’un des employés à la suite d’une attaque de phishing. En utilisant les identifiants de connexion de cet employé, l’attaquant a pu accéder au système d’un fournisseur tiers de vérification d’identité (KYC) que Transak utilise pour les services de vérification de documents. Cela a permis à l’attaquant d’accéder à des informations utilisateur spécifiques via le tableau de bord de ce fournisseur.

Les cyber actus zataz sur WhatsApp

Gratuit, chaque samedi, dans votre boîte mail.

Données consultées

Dans le cadre de cet accès, les informations suivantes ont été consultées pour les utilisateurs concernés : noms, dates de naissance, documents d’identité (passeports, permis de conduire, etc.) et photos et vidéos selfie (Demandées pour valider l’inscription sur Transak pour éviter les faux comptes). Aucune donnée financière sensible n’a été compromise. Le pirate n’aurait pas eu accés aux adresses électroniques, numéros de téléphone, mots de passe, informations de carte de crédit, numéros de sécurité sociale ou toute autre donnée financière.

En tant que plateforme non dépositaire, Transak ne détient jamais les fonds des utilisateurs, qu’il s’agisse de monnaie fiduciaire ou de cryptomonnaie. Ainsi, les actifs des utilisateurs ne sont pas affectés par cette attaque, et les utilisateurs conservent toujours le contrôle total de leurs actifs, assurant que leurs fonds ne sont jamais exposés à de tels incidents. Les pirates ont tout de même des données qui pourraient leur permettre une usurpation d’identité numérique efficace (pièces d’identités, selfies et vidéos).

À ce jour, rien ne laisse supposer que les données consultées ont été utilisées à mauvais escient. Toutefois, si vous êtes clients zataz vous recommande de rester vigilants et de surveiller toute activité suspecte.

Service veille ZATAZ : nous cherchons vos données piratées

ZATAZ cherche pour vous toutes les infos perdues, volées, piratées, et pas que vos mots de passe !

Pendant ce temps…

Le Service Veille ZATAZ a repéré une vente de données impactant, au moins, 1 million de français et françaises. Le pirate propose, pour 300$, 15 000 identités et IBAN. Le pirate n’indique pas la source de sa fuite (Il ne s’agit pas de Free ou SFR, il n’y a pas de pièces d’ID dans ces cas). Il a diffusé un échantillon sur Mega.nz. Données que le Service Veille ZATAZ a fait disparaitre.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.