Az OpenSea – az egyik legnépszerűbb NFT-központú platform – adatvédelmi incidensről számolt be, amely a cég levelezőlistájára feliratkozott ügyfelek személyazonosító adatait (PII) érintette.
Lax külső biztonság a hibás
A jogsértést nem maga az OpenSea okozta – magyarázta a cég. Inkább a Customer.io egyik alkalmazottjának köszönhető, amely egy harmadik fél platform, amelyet az OpenSea bérelt fel a közösségi média kommunikációjának kezelésére.
Nem ez az első alkalom, hogy a Customer Relationship Management (CRM) platformok résnek bizonyulnak a kripto- és NFT-platformok páncéljában. Még márciusban egy hasonló CRM – Hubspot – volt felelős a Circle-t, a Swan Bitcoint, a BlockFi-t és a NYDIG-t érintő közel azonos adatvédelmi incidensért.
Az adathalász kísérletek növekedése várható
OpenSea hivatalosan bejelentés a jogsértés egy alig néhány órája közzétett blogbejegyzésben. A közleményben a cég arra figyelmeztette a felhasználókat, hogy az ellopott adatok mennyisége a gyanú szerint meglehetősen nagy, ezért fokozott óvatosságra intette őket.
A Twitteren az OpenSea ügyfelei már gyanús e-mailekről, telefonhívásokról és nekik címzett üzenetekről számolnak be, amelyekre feltehetően a Customer.io alkalmazottja által ellopott információk miatt kerül sor.
Az OpenSea-nek és a Customer io-nak köszönhetően megsértették az adataimat? Lord Jeebus segítsen nekem. Azon tűnődtem, miért kaptam annyi spam jellegű szöveget, telefonhívást és e-mailt mostanában. ?
— Metzilmazatl (Holdszarvas)??️? (@The Ascendant3) Június 30, 2022
Az OpenSea szóvivője azt is megerősítette, hogy a csapat már felvette a kapcsolatot az illetékes jogi hatóságokkal a jogsértés miatt. Ellentétben a blokklánchoz kapcsolódó platformok közelmúltbeli kihasználásával, ez a támadás az ügyfelek adataira összpontosul – amelyeket a tokenekkel ellentétben erősen védenek a kormányok szerte a világon.
„Ha korábban megosztotta e-mailjeit az OpenSea-val, akkor feltételeznie kell, hogy érintett. Együttműködünk a Customer.io-val a folyamatban lévő nyomozásban, és jelentettük az esetet a bűnüldöző szerveknek. Kérjük, ügyeljen az e-mailezési gyakorlatára, és legyen óvatos, ha e-mailben megpróbálja megszemélyesíteni az OpenSea-t.”
Az OpenSea már elkezdett e-maileket küldeni olyan címekre, amelyekről megerősítették, hogy érintettek, röviden elmagyarázva, hogyan történt a jogsértés, és figyelmeztetve a felhasználókat, hogy legyenek óvatosak.
OpenSea adatszivárgás. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) Június 30, 2022
Az e-mailben számos bevált adathalászat elleni gyakorlatot is érintenek – és emlékeztetnek arra, hogy az opensea.io az egyetlen legitim webhelydomain, amely a vállalat tulajdonában van. Figyelmeztetés is található a mellékletek letöltésének elkerülésére, megismételve, hogy az OpenSea-től származó e-mailekhez általános szabályként nincs melléklet.
A hiperhivatkozásokat is érintették – bár az OpenSea e-mailjei tartalmazhatnak néhányat, minden olyan hivatkozást, amely a felhasználót pénztárca-tranzakció aláírására kéri, csalárdnak kell tekinteni.
Zárásként az OpenSea megígéri, hogy amikor csak lehetséges, tájékoztatja a felhasználókat a helyzetről, és kéri, hogy minden adathalász kísérletet jelentsenek a támogatási csapatuknak.
Binance ingyenes 100 USD (exkluzív): Használja ezt a linket regisztrálni, és 100 dollár ingyenes és 10% kedvezményt kap a Binance Futures első hónapjában (feltételek).
PrimeXBT különleges ajánlat: Használja ezt a linket regisztrálni és beírni a POTATO50 kódot, hogy akár 7,000 dollárt is kaphasson befizetései után.
Forrás: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/