Alors que Friend.tech célébrait un lancement beta largement réussi, la plateforme vient d’être victime d’une fuite de données massive concernant les adresses cryptos de 101,000 utilisateurs.
Une fuite massive chez Friend.tech
Avec une beta lancée depuis le 11 août, Friend.tech a généré plus d’1 million de dollars de frais en 24h. Bonne ou mauvaise nouvelle, cette popularité n’aura pas manqué d’attirer l’attention de personnes mal intentionnées.
Un utilisateur du nom de Banteg, contributeur majeur sur l’écosystème de Yearn Finance, a publié un registre complet de données critiques concernant les utilisateurs de Friend.tech sur GitHub. Le registre contient, entre autres, les adresses crypto des utilisateurs avec leurs noms Twitter. Au total, plus de 101,000 utilisateurs sont concernés. Banteg explique sur Twitter :
« 101,183 personnes ont donné la permission à Friend Tech de poster pour eux, comme l’indique le leak ci-dessous. »
101,183 people has given friend tech access to posting as them, leaked db indicateshttps://t.co/yYYDqzUoON
— banteg (@bantg) August 21, 2023
Les conséquences de cette divulgation pourraient être importantes. Les intentions de Banteg restent inconnues, mais l’utilisateur pointe du doigt un accord donné par les utilisateurs à la plateforme. Ses déclarations désigne le fait que les utilisateurs auraient peut-être donné leur accord sans connaissance de cause.
L’API de Friend.tech à l’origine de la fuite ?
Le compte Spot On Chain sur Twitter a publié en début d’après-midi un compte rendu des failles présentes sur l’API de Friend.tech.
2. The API of @friendtech also leaks the information
You can check the wallet generated by FriendTech by this API:https://t.co/uqb7V0FxLi
Just replace "0x317931c6b64f6058f688c7d62e84e1491a319dff" with the address you see on the contract. pic.twitter.com/mGrRax4Jd6
— Spot On Chain (@spotonchain) August 21, 2023
Selon ces observations, l’API serait responsable de la fameuse fuite massive de Friend.tech. Celle-ci semble en effet bien trop transparente et très peu protégé, laissant la porte ouverte à de potentielles attaques.
De son côté, Friend.tech a réagi en find d‘après-midi sur Twitter :
« Il s’agit juste de quelqu’un qui a gratté notre API publique et qui montre l’association entre les adresses de portefeuilles publics et les noms d’utilisateurs Twitter publics. C’est comme dire que quelqu’un vous a piraté en regardant votre fil Twitter public. Rapport irresponsable de la part de The Block et vichal4c. »
This is just someone scraping our public API that shows the association between public wallet addresses and public Twitter usernames.
It’s like saying someone hacked you by looking at your public Twitter feed.
Irresponsible reporting from @TheBlock_ and @vishal4c https://t.co/GIXOWazqBk
— friend.tech (@friendtech) August 21, 2023
Si la réaction de Friend.tech à la suite de la fuite d’information de ses utilisateurs semble cohérente, elle ne lève toujours pas le problème de la transparence. Friend.tech se présente comme un réseau social décentralisé, une notion qui entraîne bien souvent celle de la confidentialité et du droit à la vie privée.
Du côté des utilisateurs, une mise à jour est attendue rapidement afin de mettre un terme à cet exploit. En parallèle, les frais générés par la plateforme n’ont pas réellement augmenté depuis ce matin, démontrant une mise à l’arrêt temporaire du côté de la communauté.
Source : Twitter, GitHub, DefiLlama
Sur le même sujet :
- Towns réunit $25.5 millions pour développer le réseau social du Web3 !
- Elon Musk réfléchit à créer un nouveau réseau social avec des pourboires en Dogecoin !
- L’Action du réseau social de Donald Trump a Explosé de 845% en 2 jours! Voici de meilleures alternatives