Un ensemble de documents sensibles appartenant à la bourse de crypto-monnaies Binance, y compris du code et des mots de passe internes, aurait fait l’objet d’une fuite sur GitHub, où ils ont été accessibles au public pendant des mois.
Selon 404 Media, le matériel, posté par un compte appelé « Termf », comprenait du code, des diagrammes d’infrastructure, des mots de passe internes et d’autres informations techniques. Une partie du code disponible sur le site serait liée à la mise en œuvre par Binance de mesures de sécurité, notamment de mots de passe et d’authentification multifactorielle (MFA).
D’autres documents comprennent apparemment des mots de passe pour des systèmes marqués « prod », qui ont probablement été utilisés dans le cadre du site réel plutôt que dans des environnements de développement ou de démonstration.
Les données ont été retirées de GitHub à la suite d’une demande de retrait des droits d’auteur formulée par Binance la semaine dernière, confirmant que les données contenaient du code appartenant à la bourse. Le matériel pouvait être consulté depuis au moins le 5 janvier, date à laquelle 404 Media a contacté la bourse au sujet des fuites.
Capture d’écran expurgée montrant le code de Binance ayant fait l’objet d’une fuite sur GitHub. Source : 404 Media
Dans sa demande de retrait des droits d’auteur, Binance a déclaré que la fuite consistait en un code interne qui « pose un risque important pour Binance et cause un grave préjudice financier à Binance ainsi que la confusion et le préjudice de l’utilisateur ».
Dans une déclaration envoyée à TCN, un porte-parole de Binance a déclaré qu’il était au courant de la fuite, affirmant qu’il s’agissait « d’informations très obsolètes », qu’elles ne ressemblaient pas à ce que la bourse a actuellement en production, et qu’elles « posaient un risque négligeable pour la sécurité de nos utilisateurs, de leurs actifs ou de notre plateforme ». Les informations publiées étaient « tellement obsolètes qu’elles seraient inutilisables par des tiers ou des acteurs malveillants », ont-ils ajouté.
Le porte-parole a déclaré que Binance avait émis la demande de retrait afin de protéger sa propriété intellectuelle et d' »atténuer tout préjudice pouvant résulter d’une confusion inutile ou de craintes injustifiées concernant la publication de données privées «
