OpenSea – една от най-популярните платформи, ориентирани към NFT – съобщи за пробив на данни, засягащ личната информация (PII) на клиенти, абонирани за пощенския списък на компанията.
Слаба външна сигурност по вина
Пробивът не е причинен от самия OpenSea, обясниха от фирмата. По-скоро се дължи на служител на Customer.io, платформа на трета страна, наета от OpenSea за управление на комуникациите в социалните медии.
Това не е първият път, когато платформите за управление на взаимоотношенията с клиенти (CRM) се оказват пролука в бронята за крипто и NFT платформите. Още през март подобен CRM – Hubspot – беше отговорен за почти идентично пробив на данни, засягащ Circle, Swan Bitcoin, BlockFi и NYDIG.
Очаква се нарастване на опитите за фишинг
OpenSea официално оповестен нарушението в публикация в блог, публикувана само преди няколко часа. В изявлението компанията предупреди потребителите, че се предполага, че количеството откраднати данни е доста голямо, като ги посъветва да бъдат особено бдителни.
В Twitter клиентите на OpenSea вече съобщават за подозрителни имейли, телефонни обаждания и съобщения, насочени към тях, за които се смята, че се случват поради информация, открадната от служителя на Customer.io.
Информацията ми беше нарушена благодарение на OpenSea и Customer io? Лорд Джибъс, помогни ми. Чудех се защо напоследък имам толкова много спам съобщения, телефонни обаждания и имейли. ?
— Metzilmazatl (Лунен елен)??️? (@TheAscendant3) Юни 30, 2022
Говорителят на OpenSea също потвърди, че екипът вече се е свързал със съответните правни органи относно нарушението. За разлика от скорошните експлойти на платформи, свързани с блокчейн, тази атака е съсредоточена върху клиентски данни – които, за разлика от токените, са силно защитени от правителствата по целия свят.
„Ако сте споделяли имейла си с OpenSea в миналото, трябва да приемете, че сте били засегнати. Работим с Customer.io в текущото им разследване и сме съобщили за този инцидент на правоприлагащите органи. Моля, бъдете бдителни относно вашите имейл практики и бъдете нащрек за всеки опит да се представяте за OpenSea по имейл.”
OpenSea вече започна да изпраща имейли на адреси, за които е потвърдено, че са засегнати, като накратко обяснява как е възникнало нарушението и предупреждава потребителите да бъдат нащрек.
Пробив на данни в OpenSea. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) Юни 30, 2022
Няколко най-добри практики за борба с фишинг също са засегнати в имейла – заедно с напомняне, че opensea.io е единственият легитимен домейн на уебсайт, собственост на компанията. Включено е и предупреждение за избягване на изтегляне на прикачени файлове, като се повтаря, че имейлите от OpenSea нямат прикачени файлове като общо правило.
Хипервръзките също бяха засегнати – въпреки че имейлите на OpenSea може да включват някои, всяка връзка, подканваща потребителя да подпише транзакция в портфейла, трябва да се приеме за измамна.
В заключение, OpenSea обещава да актуализира потребителите за ситуацията, когато е възможно, и изисква всички опити за фишинг да бъдат докладвани на техния екип за поддръжка.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/