OpenSea сообщает об утечках данных и предупреждает клиентов о возможных попытках фишинга

OpenSea — одна из самых популярных платформ, ориентированных на NFT, — сообщила об утечке данных, затрагивающей личную информацию (PII) клиентов, которые подписаны на список рассылки компании.

Слабая внешняя безопасность в случае неисправности

Нарушение не было вызвано самой OpenSea, пояснила компания. Скорее, это произошло из-за сотрудника Customer.io, сторонней платформы, используемой OpenSea для управления коммуникациями в социальных сетях.

Это не первый случай, когда платформы управления взаимоотношениями с клиентами (CRM) оказались брешью в доспехах для криптоплатформ и платформ NFT. Совсем недавно, в марте, аналогичная CRM — Hubspot — была ответственна за почти идентичную утечку данных, затронувшую Circle, Swan Bitcoin, BlockFi и NYDIG.

Ожидаемый рост попыток фишинга

OpenSea официально объявила о взломе в сообщении в блоге, опубликованном всего несколько часов назад. В заявлении компания предупредила пользователей о том, что объем украденных данных может быть довольно большим, и посоветовала им проявлять особую бдительность.

В Твиттере клиенты OpenSea уже сообщают о подозрительных электронных письмах, телефонных звонках и сообщениях, адресованных им, которые, как считается, связаны с украденной информацией сотрудниками Customer.io.

Моя информация была повреждена благодаря OpenSea и Customer io 😂 Lord Jeebus помогите мне. Мне было интересно, почему в последнее время у меня так много спам-текстов, телефонных звонков и электронных писем. 🙄

– Метзилмазатль (Лунный Олень) 🪶🏳️‍🌈 (@TheAscendant3) 30 июня 2022 г.

Представитель OpenSea также подтвердил, что команда уже связалась с соответствующими юридическими органами по поводу нарушения. В отличие от недавних эксплойтов платформ, связанных с блокчейном, эта атака сосредоточена на данных клиентов, которые, в отличие от токенов, надежно защищены правительствами по всему миру.

«Если вы делились своей электронной почтой с OpenSea в прошлом, вы должны предположить, что вы пострадали. Мы работаем с Customer.io в их текущем расследовании, и мы сообщили об этом инциденте в полицию. Пожалуйста, обратите внимание на вашу практику электронной почты и будьте в поисках любых попыток выдать себя за OpenSea по электронной почте».

OpenSea уже начала рассылать электронные письма на адреса, которые, как было подтверждено, затронуты, где они кратко объясняют, как произошло нарушение, и предупреждают пользователей о необходимости быть бдительными.

Нарушение данных OpenSea. pic.twitter.com/FEtDKsoHje

– Эрик.эт (@econoar) 30 июня 2022 г.

В электронном письме также рассматриваются несколько передовых методов борьбы с фишингом, а также напоминание о том, что opensea.io — единственный законный домен веб-сайта, принадлежащий компании. Также включено предупреждение о том, чтобы не загружать вложения, в котором повторяется, что электронные письма OpenSea обычно не имеют вложений.

Гиперссылки также были затронуты — хотя электронные письма OpenSea могут содержать некоторые из них, любая ссылка, предлагающая пользователю подписать транзакцию кошелька, должна считаться мошеннической.

Наконец, OpenSea обещает информировать пользователей о ситуации, когда это возможно, и просит сообщать о любых попытках фишинга в их службу поддержки.