OpenSea - адна з самых папулярных NFT-арыентаваных платформаў - паведаміла аб узломе дадзеных, якое закранула асабістую інфармацыю (PII) кліентаў, падпісаных на спіс рассылкі кампаніі.
Слабая знешняя бяспека вінавата
У фірме патлумачылі, што парушэнне не было выклікана самім OpenSea. Хутчэй, гэта адбылося з-за супрацоўніка Customer.io, платформы трэцяга боку, нанятай OpenSea для кіравання камунікацыямі ў сацыяльных сетках.
Гэта не першы раз, калі платформы кіравання ўзаемаадносінамі з кліентамі (CRMs) апынуліся шчылінай у брані для крыпта- і NFT-платформаў. Яшчэ ў сакавіку аналагічны CRM - Hubspot - быў адказны за амаль ідэнтычную ўзлом дадзеных, які закрануў Circle, Swan Bitcoin, BlockFi і NYDIG.
Чакаецца рост спроб фішынгу
OpenSea афіцыйна Абвешчаны парушэнне ў паведамленні ў блогу, апублікаваным толькі некалькі гадзін таму. У заяве кампанія папярэдзіла карыстальнікаў, што аб'ём скрадзеных дадзеных, як мяркуецца, даволі вялікі, і параіла ім быць асабліва пільнымі.
У Twitter кліенты OpenSea ужо паведамляюць пра падазроныя электронныя лісты, тэлефонныя званкі і паведамленні, накіраваныя на іх, якія, як мяркуецца, адбываюцца з-за інфармацыі, скрадзенай супрацоўнікам Customer.io.
Мая інфармацыя была ўзламана дзякуючы OpenSea і Customer io? Лорд Джыбус, дапамажы мне. Мне было цікава, чаму ў апошні час у мяне так шмат спаму, тэлефонных званкоў і электронных лістоў. ?
— Мецылмазатль (Месяцовы алень)??️? (@TheAscendant3) Чэрвень 30, 2022
Прэс-сакратар OpenSea таксама пацвердзіў, што каманда ўжо звязалася з адпаведнымі юрыдычнымі органамі з нагоды парушэння. У адрозненне ад нядаўніх эксплойтаў платформаў, звязаных з блокчейном, гэтая атака засяроджана на дадзеных кліентаў, якія, у адрозненне ад токенаў, моцна абаронены ўрадамі па ўсім свеце.
«Калі вы дзяліліся сваёй электроннай поштай з OpenSea у мінулым, вы павінны меркаваць, што вы пацярпелі. Мы працуем з Customer.io у іх расследаванні, і мы паведамілі аб гэтым інцыдэнце ў праваахоўныя органы. Калі ласка, будзьце ўважлівыя ў дачыненні да сваёй практыкі электроннай пошты і будзьце ўважлівыя да любой спробы выдаць сябе за OpenSea па электроннай пошце».
OpenSea ужо пачаў рассылаць электронныя лісты на адрасы, якія пацвердзілі, што яны былі закрануты, коратка тлумачачы, як узнікла ўзлом, і папярэджваючы карыстальнікаў быць насцярожанымі.
Злом дадзеных OpenSea. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) Чэрвень 30, 2022
Некалькі лепшых практык барацьбы з фішынгам таксама закранаюцца ў электроннай пошце - разам з напамінам, што opensea.io з'яўляецца адзіным законным даменам вэб-сайта, які належыць кампаніі. Таксама ўключана папярэджанне аб пазбяганні спампоўкі ўкладанняў, якое паўтарае, што электронныя лісты з OpenSea, як правіла, не маюць укладанняў.
Гіперспасылкі таксама былі закрануты - хоць электронныя лісты OpenSea могуць уключаць некаторыя, любая спасылка, якая заклікае карыстальніка падпісаць транзакцыю з кашальком, павінна лічыцца ашуканскай.
У завяршэнне OpenSea абяцае інфармаваць карыстальнікаў аб сітуацыі, калі гэта магчыма, і просіць паведамляць аб любых спробах фішынгу ў іх службу падтрымкі.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/