OpenSea – jedna z najpopulárnejších platforiem zameraných na NFT – ohlásila únik údajov ovplyvňujúci osobné identifikačné informácie (PII) zákazníkov zapísaných do zoznamu adresátov spoločnosti.
Laxná vonkajšia bezpečnosť na vine
Porušenie nebolo spôsobené samotnou spoločnosťou OpenSea, vysvetlila firma. Bolo to skôr vďaka zamestnancovi Customer.io, platformy tretej strany, ktorú si OpenSea najala na správu komunikácie na sociálnych sieťach.
Nie je to prvýkrát, čo sa platformy Customer Relationship Management (CRM) ukázali ako štrbina v pancieri pre krypto a NFT platformy. Ešte v marci bol podobný CRM – Hubspot – zodpovedný za takmer identické porušenie údajov, ktoré postihlo Circle, Swan Bitcoin, BlockFi a NYDIG.
Očakáva sa nárast pokusov o phishing
OpenSea oficiálne oznámila, porušenie v blogovom príspevku uverejnenom len pred niekoľkými hodinami. Vo vyhlásení spoločnosť varovala používateľov, že množstvo ukradnutých údajov je podozrivé z pomerne veľkého množstva, pričom im odporúča, aby boli mimoriadne ostražití.
Na Twitteri už zákazníci OpenSea hlásia podozrivé e-maily, telefónne hovory a správy, ktoré im boli adresované, o ktorých sa predpokladá, že k nim dochádza v dôsledku informácií, ktoré im ukradol zamestnanec Customer.io.
Moje informácie boli porušené vďaka OpenSea a Customer io? Lord Jeebus, pomôž mi. Bol som zvedavý, prečo mám v poslednej dobe toľko spamových textov, telefonátov a e-mailov. ?
— Metzilmazatl (Mesačný jeleň)??️? (@TheAscendant3) Júna 30, 2022
Hovorca OpenSea tiež potvrdil, že tím už kontaktoval príslušné právne orgány ohľadom porušenia. Na rozdiel od nedávnych exploitov platforiem súvisiacich s blockchainom sa tento útok sústreďuje na údaje o zákazníkoch – ktoré sú na rozdiel od tokenov prísne chránené vládami po celom svete.
„Ak ste v minulosti zdieľali svoj e-mail s OpenSea, mali by ste predpokladať, že ste boli ovplyvnení. Spolupracujeme s Customer.io na ich prebiehajúcom vyšetrovaní a tento incident sme nahlásili orgánom činným v trestnom konaní. Buďte opatrní pri svojich e-mailových praktikách a buďte opatrní pri akomkoľvek pokuse vydávať sa za OpenSea prostredníctvom e-mailu.“
OpenSea už začala posielať e-maily na adresy, u ktorých sa potvrdilo, že boli ovplyvnené, stručne vysvetľujúce, ako k porušeniu došlo, a varujú používateľov, aby sa mali na pozore.
Porušenie údajov OpenSea. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) Júna 30, 2022
E-mail obsahuje aj niekoľko osvedčených postupov proti phishingu – spolu s pripomenutím, že opensea.io je jediná legitímna doména webových stránok, ktorú spoločnosť vlastní. Zahrnuté je aj varovanie, aby ste sa vyhli sťahovaniu príloh, ktoré opakuje, že e-maily z OpenSea spravidla nemajú prílohy.
Dotkli sa aj hypertextových odkazov – hoci e-maily OpenSea môžu obsahovať nejaké, každý odkaz vyzývajúci používateľa na podpísanie transakcie v peňaženke by sa mal považovať za podvodný.
Na záver spoločnosť OpenSea sľubuje, že bude používateľov informovať o situácii vždy, keď to bude možné, a požaduje, aby boli akékoľvek pokusy o phishing nahlásené ich tímu podpory.
Binance Free 100 $ (exkluzívne): Použite tento odkaz zaregistrovať sa a získať 100 $ zadarmo a 10 % zľavu na poplatky na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz zaregistrujte sa a zadajte kód POTATO50, aby ste na svoje vklady dostali až 7,000 XNUMX $.
Zdroj: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/