OpenSea – en av de mest populære NFT-sentriske plattformene – har rapportert et datainnbrudd som påvirker personlig identifiserende informasjon (PII) til kunder som abonnerer på selskapets e-postliste.
Lax ekstern sikkerhet ved feil
Bruddet var ikke forårsaket av OpenSea selv, forklarte firmaet. Snarere skyldtes det en ansatt i Customer.io, en tredjepartsplattform ansatt av OpenSea for å administrere kommunikasjon på sosiale medier.
Dette er ikke første gang Customer Relationship Management (CRM)-plattformer har vist seg å være en hakk i rustningen for krypto- og NFT-plattformer. Så sent som i mars var en lignende CRM – Hubspot – ansvarlig for et nesten identisk datainnbrudd som påvirker Circle, Swan Bitcoin, BlockFi og NYDIG.
Forventet økning i phishing-forsøk
OpenSea offisielt annonsert bruddet i et blogginnlegg publisert for bare noen timer siden. I uttalelsen advarte selskapet brukere om at mengden data som er stjålet mistenkes å være ganske stor, og rådet dem til å være ekstra på vakt.
På Twitter rapporterer OpenSea-kunder allerede mistenkelige e-poster, telefonsamtaler og meldinger rettet mot dem, som antas å finne sted på grunn av informasjon stjålet av Customer.io-ansatte.
Informasjonen min ble brutt takket være OpenSea og Customer io ? Lord Jeebus hjelp meg. Jeg lurte på hvorfor jeg hadde så mange nettsøppeltekster, telefonsamtaler og e-poster i det siste. ?
— Metzilmazatl (Månehjort)??️? (@TheAscendant3) Juni 30, 2022
Talsmannen for OpenSea bekreftet også at teamet allerede har kontaktet relevante juridiske myndigheter om bruddet. I motsetning til nylige utnyttelser av blockchain-relaterte plattformer, er dette angrepet sentrert på kundedata – som, i motsetning til tokens, er sterkt beskyttet av myndigheter over hele verden.
"Hvis du har delt e-posten din med OpenSea tidligere, bør du anta at du ble påvirket. Vi jobber med Customer.io i deres pågående etterforskning, og vi har rapportert denne hendelsen til politiet. Vær oppmerksom på e-postpraksisen din, og vær på vakt for ethvert forsøk på å utgi seg for OpenSea via e-post."
OpenSea har allerede begynt å sende ut e-poster til adresser som er bekreftet å være berørt, der de kort forklarer hvordan bruddet oppsto og advarer brukere om å være på vakt.
OpenSea databrudd. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) Juni 30, 2022
Flere beste praksiser mot phishing er også berørt i e-posten – sammen med en påminnelse om at opensea.io er det eneste legitime nettsteddomenet som eies av selskapet. En advarsel om å unngå å laste ned vedlegg er også inkludert, som gjentar at e-poster fra OpenSea som hovedregel ikke har vedlegg.
Hyperkoblinger ble også berørt – selv om OpenSea-e-poster kan inneholde noen, bør enhver kobling som ber en bruker om å signere en lommeboktransaksjon antas å være uredelig.
Avslutningsvis lover OpenSea å oppdatere brukere om situasjonen når det er mulig og ber om at eventuelle phishing-forsøk rapporteres til deres støtteteam.
Binance gratis $100 (eksklusivt): Bruk denne lenken for å registrere deg og motta $100 gratis og 10 % rabatt på Binance Futures første måned (vilkår).
PrimeXBT Spesialtilbud: Bruk denne lenken for å registrere deg og angi POTATO50-koden for å motta opptil $7,000 XNUMX på innskuddene dine.
Kilde: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/