Coinomi rencontre un problème de vulnérabilité de sécuritéCoinomi, l'un des principaux portefeuilles de cryptomonnaies, interpelle l'utilisateur qui a découvert une faille de sécurité dans son système après avoir perdu une somme importante suite à un vol. Sur Twitter, des utilisateurs reprochent à Coinomi de se plaindre de ses pertes et exigent que le portefeuille assume la responsabilité de l'incident .
Que le message soit clair : nous ne négocions pas avec les maîtres chanteurs.
Voici l'intégralité de la correspondance du service d'assistance avec @warith2020 (une tentative de chantage qui a mal tourné) :
— coinomi (@CoinomiWallet) 27 février 2019
Warith Al Maawali, un militant omanais des cryptomonnaies et de la sécurité informatique, a révélé une faille de sécurité majeure dans le portefeuille de cryptomonnaies Coinomi. Ce dernier transmettrait les phrases de récupération secrètes sans chiffrement à des tiers. Cette vulnérabilité permet aux pirates informatiques et aux escrocs d'utiliser ces phrases, transmises en clair, pour voler les cryptomonnaies des utilisateurs.
Maawali a depuis publié un tweet se moquant du portefeuille Coinomi et accuse actuellement une perte d'environ soixante à soixante-dix mille dollars (60 000 à 70 000 $). Il affirme que le vol a été rendu possible grâce au portefeuille Coinomi et que la gestion des informations par ce dernier est à l'origine de ses pertes.
Maawali a expliqué que le portefeuille utilise le correcteur orthographique de Google et envoie ses clés secrètes au serveur de Google. Toute personne disposant d'un logiciel d'interception peut ainsi traccette phrase et l'utiliser pour voler les fonds du compte.
Luke Childs, expert en sécurité basé en Thaïlande, a également confirmé dans un tweet et une vidéo que le portefeuille envoie effectivement ces informations, censées être privées, à un serveur tiers et que ces informations peuvent être interceptées.
FAILLE DE SÉCURITÉ : CoinomiWallet envoie votre phrase de récupération en clair à l’API de correction orthographique de Google dès que vous la saisissez ! Ce n’est pas une blague !
Vidéo jointe à titre de preuve.
Merci à @warith2020 d'avoir repéré le problème ; pour en savoir plus, consultez son article : https://t.co/tCZ0hDPyJ3 pic.twitter.com/hdaPOb84A9
— Luke Childs ☂️ (@lukechilds) 27 février 2019
Une analyse approfondie de la conversation rendue publique par le portefeuille après la révélation de l'affaire Maawali montre que l'équipe de Coinomi a fait traîner les choses pendant des jours, poussant l'utilisateur à divulguer ses pertes. Il a demandé le remboursement de ses fonds, mais l'administration du portefeuille a refusé, bien qu'elle le croie sur parole quant à l'obtention de la prime. Pourtant, le portefeuille a également affirmé que le piratage n'était pas imputable à Coinomi, contredisant ainsi directement son offre de prime à l'utilisateur.
