7 мільйонів витіків електронних листів OpenSea повністю оприлюднено: Звіт

Порушення безпеки, яке сколихнуло OpenSea у 2022 році, набуло нового оберту, оскільки понад сім мільйонів адрес електронної пошти тепер є загальнодоступними, за словами головного директора з інформаційної безпеки SlowMist, відомого як «…23 пострілиЦе порушення, про яке вперше повідомлялося в червні 2022 року, стосувалося витоку адрес електронної пошти користувачів від постачальника послуг електронної пошти OpenSea, Customer(.)io.

Порушення OpenSea: хронологія вразливостей

У червні 2022 року OpenSea досяг піку свого успіху, маючи понад 120 мільйонів відвідувачів щомісяця та входячи до 400 найкращих вебсайтів світу. Протягом цього часу співробітник Customer(.)io, постачальника послуг автоматизації електронної пошти, експлуатований їхній доступ до вилучення та обміну адресами електронної пошти з бази даних користувачів OpenSea з неавторизованою третьою стороною. 

Витік інформації в першу чергу був спрямований на базу користувачів платформи, але також скомпрометував відомих діячів у секторі криптовалют, включаючи генерального директора Binance Чанпена Чжао, провідні фірми та впливових осіб галузі.

Витік інформації тепер повністю оприлюднений

Експерт з кібербезпеки 23pds підтвердив у X (раніше Twitter), що адреси електронної пошти, зокрема адреси лідерів галузі, інфлюенсерів та трейдерів, тепер широко доступні. З огляду на їхню видимість, ці особи є головними цілями фішингових атак, які можуть завдати серйозної фінансової та репутаційної шкоди. 

Цей реліз даних посилює ризик для осіб, які вже постраждали, роблячи їх вразливими до фішингових шахрайств та інших зловмисних дій. 23pds наголосила, що ці адреси електронної пошти тепер можуть бути використані зловмисниками для створення переконливих фішингових атак.

Фішингові шахрайства вже є однією з найзначніших загроз безпеці в криптосфері. Скомпрометовані дані полегшують шахраям надсилання оманливих електронних листів, що нагадують легітимне повідомлення від довірених організацій, таких як OpenSea. Ці листи часто обманом змушують користувачів натискати на шкідливі посилання, що призводить до крадіжки облікових даних для входу, цифрових активів або навіть особистої інформації.

Рекомендації для користувачів, яких це стосується

Експерт з безпеки SlowMist порадив усім користувачам, чиї адреси електронної пошти були частиною витоку даних, негайно вжити запобіжних заходів. До них належать створення надійних, унікальних паролів для їхніх облікових записів та використання менеджера паролів для їх безпечного зберігання. Також наполегливо рекомендується використовувати двофакторну автентифікацію (2FA), віддаючи перевагу програмам-автентифікаціям над 2FA на основі SMS через їх підвищену безпеку.

Раніше OpenSea також посилила ці заходи безпеки, нагадавши користувачам бути обережними з електронними листами, які, ймовірно, надходять з неофіційних доменів OpenSea, таких як «opensae(.)io», «opensea(.)org» або «opensea(.)xyz».

Тривожний дзвінок для криптобезпеки

Фішингові атаки, що виникають внаслідок таких порушень, стали значною проблемою, оскільки лише у 2024 році через ці шахрайські схеми було втрачено понад 1 мільярд доларів цифрових активів. За даними CertiK, у першій половині 2024 року сталося понад 250 порушень, які торкнулися таких основних платформ, як Binance, Crypto.com та eToro.

Цей витік також підкреслює вразливості, присутні у сторонніх сервісах, що використовуються криптоплатформами. У випадку OpenSea, джерелом витоку став Customer().io, надійний партнер з автоматизації електронної пошти, що підкреслює необхідність посилених заходів безпеки на всіх рівнях інфраструктури платформи, особливо з конфіденційними даними користувачів.

Відкрийте для себе перспективні проекти...

Перспективні проекти...

(Реклама)

Стаття продовжується...

Це доповнює зростаючий список гучних інцидентів, таких як витік даних Ledger у 2020 році, в результаті якого було розкрито особисті дані понад 270 000 користувачів.