Des listes pleines d'informations sensibles sur les participants aux événements de l'industrie crypto sont vendues sous le couvert de “marketing et promotion et recherche de clients”, ce qui représente une mine d'or potentielle de données pour les escrocs et les acteurs malveillants.
Les listes peuvent contenir des informations telles que les noms complets, les numéros de téléphone, les nationalités, les rôles professionnels et les entreprises, ainsi que des liens vers des médias sociaux personnels et professionnels.
Certaines incluent même la date d'achat des billets des participants, le type de billet, le système d'exploitation utilisé pour effectuer l'achat, le nombre de followers sur les réseaux sociaux, les adresses de portefeuille crypto et des messages tapés dans un champ de texte envoyé aux organisateurs de l'événement.
Des informations comme celles-ci sont généralement collectées par le biais de formulaires d'inscription aux événements lors de conférences ou d'événements annexes. Récemment, des événements utilisant des plateformes telles que lu.ma pour émettre des billets exigent souvent des liens vers des comptes de médias sociaux spécifiques avant d'accepter les candidatures.
Un échantillon censuré d'une liste partagé avec Cointelegraph comprenait les identifiants Telegram des participants. Source : Elias Ahonen/Cointelegraph
Cointelegraph a obtenu des “échantillons” de telles listes d'un vendeur via Telegram, qui comprenaient quatre listes d'environ 60 à 100 participants, qui semblaient provenir de plusieurs événements, et chacune contenait différents points de données sur les participants.
Les événements semblent avoir eu lieu principalement à l'automne 2024, et les numéros de téléphone des participants suggèrent que les événements se sont déroulés dans différents pays — principalement en Asie du Sud-Est et en Inde.
Un vendeur unique ayant accès à des listes de plusieurs pays suggère que plutôt qu'un incident isolé, il existe un commerce international organisé de données sur les participants aux événements blockchain.
Un trafiquant de données sur les participants à l'événement explique ce qui figure sur les listes. Source : Elias Ahonen/Cointelegraph
Les listes semblent être la pointe de l'iceberg — des images d'échantillons supplémentaires prétendument liés à Blockchain Fest et Devcon ont également été partagées.
Cointelegraph ne suggère pas que les organisateurs ou le personnel des grands événements soient impliqués dans le commerce, car des centaines d'événements annexes lors de conférences collectent également des détails similaires.
D'une valeur spécifique était une liste apparente de 1 700 participants à la conférence AIBC de novembre 2024 à Malte. Le prix demandé pour la liste, que le vendeur a dit être distribuée à “seulement quelques personnes”, était près de 4 000 $, mais a ensuite été réduit à 650 $ après quelques jours.
“Ces données sont des informations très internes et exclusives.”
Le vendeur a affirmé que les produits de la vente seraient utilisés pour acheter d'autres listes d'autres événements, notamment de Coinfest et DevCon, pour lesquels ils ont partagé des captures d'écran de la base de données.
Le vendeur semblait agir comme un revendeur des données et, bien que anonyme, le vendeur et le compilateur des données semblent être russes, comme en témoigne l'un des onglets de l'échantillon de données intitulé “List2” en russe et une analyse IA de l'écriture du vendeur pointant vers un locuteur natif russe.
Le vendeur tente même de justifier la vente des données “non divulguées”, affirmant qu'il ne s'agit pas d'informations sensibles et que “la plupart des gens sont ouverts à ce type de marketing.”
Les informations pourraient grandement aider les escrocs en ingénierie sociale à cibler ceux sur les listes avec des liens malveillants et des tentatives de phishing pour vider leurs portefeuilles crypto.
Le courtier de données affirme que les informations personnelles sensibles sont “uniquement pour le marketing.” Source : Elias Ahonen/Cointelegraph
Le fondateur d'AIBC, Eman Pulis, voulait savoir quelle était l'ampleur de la liste lorsque Cointelegraph a demandé un commentaire et a déclaré que l'événement a “des protocoles très stricts contre les violations de données.” Pulis a ajouté que de nombreuses bases de données similaires sont frauduleuses et que “nous recevons tout le temps des offres de bases de données de nos concurrents.”
La base de données complète ne peut pas être vérifiée, mais le vendeur a proposé de valider ses données par rapport à tout participant AIBC connu.
“AIBC si vous connaissez quelqu'un qui était là, je peux prouver la réalité, donnez-moi le nom de famille et je trouverai la personne.”
Bien qu'il ne soit pas clair d'où proviennent les données, il est clair que des listes de ce type sont recherchées par des acteurs peu scrupuleux, et les participants devraient être conscients des risques liés à la saisie de données personnelles dans des formulaires en ligne.
Magazine : Des problèmes juridiques entourent la création par le FBI de faux jetons crypto