OpenSea — одна из самых популярных платформ, ориентированных на NFT, — сообщила об утечке данных, затрагивающей личную информацию (PII) клиентов, которые подписаны на список рассылки компании.
Слабая внешняя безопасность в случае неисправности
Нарушение не было вызвано самой OpenSea, пояснила компания. Скорее, это произошло из-за сотрудника Customer.io, сторонней платформы, используемой OpenSea для управления коммуникациями в социальных сетях.
Это не первый случай, когда платформы управления взаимоотношениями с клиентами (CRM) оказались брешью в доспехах для криптоплатформ и платформ NFT. Совсем недавно, в марте, аналогичная CRM — Hubspot — была ответственна за почти идентичную утечку данных, затронувшую Circle, Swan Bitcoin, BlockFi и NYDIG.
Ожидаемый рост попыток фишинга
OpenSea официально объявила о взломе в сообщении в блоге, опубликованном всего несколько часов назад. В заявлении компания предупредила пользователей о том, что объем украденных данных может быть довольно большим, и посоветовала им проявлять особую бдительность.
В Твиттере клиенты OpenSea уже сообщают о подозрительных электронных письмах, телефонных звонках и сообщениях, адресованных им, которые, как считается, связаны с украденной информацией сотрудниками Customer.io.
Моя информация была повреждена благодаря OpenSea и Customer io 😂 Lord Jeebus помогите мне. Мне было интересно, почему в последнее время у меня так много спам-текстов, телефонных звонков и электронных писем. 🙄
– Метзилмазатль (Лунный Олень) 🪶🏳️🌈 (@TheAscendant3) 30 июня 2022 г.
Представитель OpenSea также подтвердил, что команда уже связалась с соответствующими юридическими органами по поводу нарушения. В отличие от недавних эксплойтов платформ, связанных с блокчейном, эта атака сосредоточена на данных клиентов, которые, в отличие от токенов, надежно защищены правительствами по всему миру.
«Если вы делились своей электронной почтой с OpenSea в прошлом, вы должны предположить, что вы пострадали. Мы работаем с Customer.io в их текущем расследовании, и мы сообщили об этом инциденте в полицию. Пожалуйста, обратите внимание на вашу практику электронной почты и будьте в поисках любых попыток выдать себя за OpenSea по электронной почте».
OpenSea уже начала рассылать электронные письма на адреса, которые, как было подтверждено, затронуты, где они кратко объясняют, как произошло нарушение, и предупреждают пользователей о необходимости быть бдительными.
Нарушение данных OpenSea. pic.twitter.com/FEtDKsoHje
– Эрик.эт (@econoar) 30 июня 2022 г.
В электронном письме также рассматриваются несколько передовых методов борьбы с фишингом, а также напоминание о том, что opensea.io — единственный законный домен веб-сайта, принадлежащий компании. Также включено предупреждение о том, чтобы не загружать вложения, в котором повторяется, что электронные письма OpenSea обычно не имеют вложений.
Гиперссылки также были затронуты — хотя электронные письма OpenSea могут содержать некоторые из них, любая ссылка, предлагающая пользователю подписать транзакцию кошелька, должна считаться мошеннической.
Наконец, OpenSea обещает информировать пользователей о ситуации, когда это возможно, и просит сообщать о любых попытках фишинга в их службу поддержки.
Binance Free $100 (Exclusive): используйте эту ссылку, чтобы зарегистрироваться и получить $100 бесплатно и скидку 10% на Binance Futures в первый месяц. (условия).
Специальное предложение PrimeXBT: используйте эту ссылку, чтобы зарегистрироваться и ввести код POTATO50, чтобы получить до 7000 долларов США на свои депозиты.
Купить крипту на BINANCE и получить ваучер на 100USDT! Успей сейчас, предложение ограничено!