Et c'est au tour de Waltio : fuite de données

[patrickus]

La société crypto française Waltio a été victime d'une fuite de données. Waltio est une société qui apporte une aide pour la déclaration fiscale des cryptos.

https://www.bfmtv.com/crypto/une-attaque-particulierement-sophistiquee-la-societe-crypto-francaise-waltio-victime-d-une-fuite-de-donnees-revelant-les-adresses-emails-et-les-soldes-de-certains-utilisateurs_AN-202601230661.html

Les faits se sont déroulés le mercredi 21 janvier. Une "attaque particulièrement sophistiquée a permis l’accès à certaines données de la société", indique la société dans un communiqué qui vient de paraître. Les données exfiltrés concernent à la fois l'adresse email de l'utilisateur, mais aussi les rapports de déclaration fiscale de 2024, notamment les gains et pertes des utilisateurs ainsi que leurs soldes à fin décembre 2024.

Waltio n'a pas communiqué sur le nombre d'utilisateurs concernés par cette fuite. La société précise que les mots de passe cryptos, les clés API d’exchanges, les adresses de wallets, l’historique détaillé des transactions ou encore les données bancaires des utilisateurs ne sont pas concernés par cette fuite. "Pour rappel, Waltio ne possède aucune autre donnée personnelle que votre email", précise la société.

Il semble donc que ce soit quand même nettement moins grave que les fuites chez Ledger.

[fpelu]

Il y a quand même les soldes et les adresses mail, les rapports de "déclaration fiscale" (il y a quoi là-dedans?).
Chez Ledger, je ne me souviens plus exactement ce qu'ils avaient piqué. Les coordonnées bancaires, il me semble, téléphone…
C'étaient les data des adeptes de Ledger Recover, non?

[patrickus]

Il y a quand même les soldes et les adresses mail, les rapports de "déclaration fiscale" (il y a quoi là-dedans?).

Je ne suis pas certain car j'utilise Koinly, pas Waltio. Mais si c'est comme Koinly, il devrait y avoir toutes les infos sur le contenu des wallets des utilisateurs de Waltio. Mais a priori, les malfrats ne pourront pas faire le lien avec les adresses physiques (postales). Ils pourront juste le faire avec des emails.

Chez Ledger, je ne me souviens plus exactement ce qu'ils avaient piqué. Les coordonnées bancaires, il me semble, téléphone…
C'étaient les data des adeptes de Ledger Recover, non?

Dans les deux hack de ledgers (juin 2020, décembre 2025), les adresses postales des clients ont été hackées, ce qui est embêtant. Ca n'a pas de rapport avec Recover (sauf si il y a eu un autre hack qui m'a échappé) car ça n'existait pas en 2020 et en 2025, ce sont ceux qui ont fait un achat qui sont les victimes.

[patrickus]

Waltio a découvert ce hack le 21 janvier.

https://www.waltio.com/fr/blog/actualite/security-notice-23-01/

Je veux être très clair : aucune donnée permettant d’accéder à vos crypto-actifs n’est compromise.

Ne sont pas concernés :

    vos mots de passe
    les clés API d’exchanges
    les adresses de wallets
    l’historique détaillé de vos transactions
    toute information permettant de déplacer des fonds
    les données bancaires (IBAN, carte bancaire)

Pour rappel, Waltio ne possède aucune autre donnée personnelle que votre email. Nous ne vous demandons aucune information relative à votre identité (prénom, nom, adresse postale, numéro de téléphone, date de naissance).

Le problème c'est que ces données peuvent être croisées avec des données d'autres hack.

[fpelu]

Il y a l'adresse mail.
Je pense qu'avec l'adresse mail, en cherchant un peu, on peut souvent faire le lien avec une personne.
Surtout qu'il n'est mentionné nulle part si le nom de l'utilisateur fait partie des données ayant fuité. On peut le penser (données agrégées du rapport fiscal)…
En ce moment, c'est quasiment une fois par semaine qu'il y a des fuites.
Décidément, le quartier n'est pas sûr!
Tant qu'on n'est pas enregistré sur un CEX, à Bercy ou sur des trucs comme Waltio, Ledger, etc… on peut être tranquille.
Mais ça fait beaucoup quand même.
Sans compter le fait qu'on ne peut plus parler crypto qu'à son chien.

Et, au fait, ce forum?