OpenSea, одна з найпопулярніших платформ, орієнтованих на NFT, повідомила про витік даних, що вплинуло на ідентифікаційну інформацію (PII) клієнтів, підписаних на список розсилки компанії.
Винен слабкий зовнішній захист
Порушення не було спричинене самою OpenSea, пояснила фірма. Швидше, це сталося через співробітника Customer.io, сторонньої платформи, найнятої OpenSea для управління комунікаціями в соціальних мережах.
Це не перший випадок, коли платформи управління взаємовідносинами з клієнтами (CRM) виявилися щілиною в броні для крипто- та NFT-платформ. Нещодавно в березні подібна CRM – Hubspot – відповідальна за майже ідентичний витік даних, що вплинуло на Circle, Swan Bitcoin, BlockFi та NYDIG.
Очікується ріст спроб фішингу
OpenSea офіційно оголошений порушення в дописі в блозі, опублікованій лише кілька годин тому. У заяві компанія попередила користувачів, що кількість викрадених даних є досить великою, порадивши їм бути особливо пильними.
У Twitter клієнти OpenSea вже повідомляють про підозрілі електронні листи, телефонні дзвінки та повідомлення, спрямовані на них, які, ймовірно, відбуваються через інформацію, яку вкрав співробітник Customer.io.
Мою інформацію було зламано завдяки OpenSea та Customer io? Господи Джибус, допоможи мені. Мені було цікаво, чому останнім часом у мене так багато спаму, телефонних дзвінків і електронних листів. ?
— Metzilmazatl (Місячний олень)??️? (@TheAscendant3) 30 Червня, 2022.
Речник OpenSea також підтвердив, що команда вже зв'язалася з відповідними юридичними органами щодо порушення. На відміну від останніх дій платформ, пов’язаних з блокчейном, ця атака зосереджена на даних клієнтів, які, на відміну від токенів, сильно захищені урядами по всьому світу.
«Якщо ви ділилися своєю електронною поштою з OpenSea в минулому, ви повинні припустити, що на вас це вплинуло. Ми працюємо з Customer.io у їхньому розслідуванні, і ми повідомили про цей інцидент у правоохоронні органи. Будь ласка, будьте пильні щодо своїх методів роботи з електронною поштою, і будьте пильні щодо будь-яких спроб видати себе за OpenSea за допомогою електронної пошти».
OpenSea вже почала надсилати електронні листи на адреси, на які підтверджено, що вони були вражені, коротко пояснюючи, як стався злам, і попереджаючи користувачів бути насторожі.
Злом даних OpenSea. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) 30 Червня, 2022.
Кілька найкращих методів боротьби з фішингом також зачіпаються в електронній пошті – разом із нагадуванням, що opensea.io є єдиним законним доменом веб-сайту, що належить компанії. Також включено попередження про те, щоб уникати завантаження вкладень, повторюючи, що електронні листи з OpenSea, як загальне правило, не мають вкладень.
Також торкнулися гіперпосилання – хоча електронні листи OpenSea можуть містити деякі, будь-яке посилання, що спонукає користувача підписати транзакцію гаманця, слід вважати шахрайським.
На завершення OpenSea обіцяє інформувати користувачів про ситуацію, коли це можливо, і просить повідомляти про будь-які спроби фішингу їхню службу підтримки.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/