OpenSea – jedna z najpopularniejszych platform skupiających się na NFT – zgłosiła naruszenie danych mające wpływ na dane osobowe (PII) klientów zapisanych na listę mailingową firmy.
Zawiniły luźne zabezpieczenia zewnętrzne
Firma wyjaśniła, że naruszenie nie zostało spowodowane przez samo OpenSea. Było to raczej spowodowane przez pracownika Customer.io, zewnętrznej platformy wynajętej przez OpenSea do zarządzania komunikacją w mediach społecznościowych.
To nie pierwszy raz, kiedy platformy do zarządzania relacjami z klientami (CRM) okazały się luką w pancerzu dla platform kryptograficznych i NFT. Jeszcze w marcu podobny CRM – Hubspot – był odpowiedzialny za niemal identyczne naruszenie danych, które dotknęło Circle, Swan Bitcoin, BlockFi i NYDIG.
Oczekiwany wzrost liczby prób phishingu
OpenSea oficjalnie ogłosił naruszenie w poście na blogu opublikowanym zaledwie kilka godzin temu. W oświadczeniu firma ostrzegła użytkowników, że istnieje podejrzenie, że ilość skradzionych danych jest dość duża, i zaleciła im zachowanie szczególnej czujności.
Na Twitterze klienci OpenSea już zgłaszają podejrzane e-maile, rozmowy telefoniczne i wiadomości kierowane do nich, które najprawdopodobniej mają miejsce w wyniku kradzieży informacji przez pracownika Customer.io.
Moje dane zostały naruszone dzięki OpenSea i Customer io ? Lord Jeebus pomóż mi. Zastanawiałem się, dlaczego ostatnio miałem tyle spamerskich SMS-ów, telefonów i e-maili. ?
— Metzilmazatl (księżycowy jeleń)??️? (@Wniebowstąpienie3) 30 czerwca 2022 r.
Rzecznik OpenSea potwierdził również, że zespół skontaktował się już z odpowiednimi organami prawnymi w sprawie naruszenia. W przeciwieństwie do niedawnych exploitów platform związanych z blockchainem, atak ten koncentruje się na danych klientów, które w przeciwieństwie do tokenów są silnie chronione przez rządy na całym świecie.
„Jeśli w przeszłości udostępniałeś swój e-mail firmie OpenSea, powinieneś założyć, że miało to na Ciebie wpływ. Współpracujemy z Customer.io w ramach trwającego dochodzenia i zgłosiliśmy ten incydent organom ścigania. Prosimy o zachowanie czujności w zakresie stosowanych praktyk związanych z pocztą elektroniczną i zachowanie czujności w przypadku wszelkich prób podszywania się pod OpenSea za pośrednictwem poczty elektronicznej.”
OpenSea rozpoczęło już wysyłanie e-maili na adresy, co do których potwierdzono, że doszło do naruszenia, zwięźle wyjaśniając, w jaki sposób doszło do naruszenia i ostrzegając użytkowników, aby mieli się na baczności.
Naruszenie danych OpenSea. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) 30 czerwca 2022 r.
W wiadomości e-mail poruszono także kilka najlepszych praktyk w zakresie ochrony przed phishingiem, a także przypomniano, że opensea.io to jedyna legalna domena internetowa należąca do firmy. Zawarte jest również ostrzeżenie, aby unikać pobierania załączników, przypominające, że e-maile z OpenSea z reguły nie mają załączników.
Poruszono także kwestię hiperłączy – chociaż e-maile OpenSea mogą je zawierać, każdy link zachęcający użytkownika do podpisania transakcji w portfelu należy uznać za fałszywy.
Na zakończenie OpenSea obiecuje informować użytkowników o sytuacji, gdy tylko będzie to możliwe, i prosi o zgłaszanie wszelkich prób phishingu swojemu zespołowi wsparcia.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/