OpenSea – en af de mest populære NFT-centrerede platforme – har rapporteret et databrud, der påvirker de personligt identificerende oplysninger (PII) for kunder, der abonnerer på virksomhedens mailingliste.
Lax ekstern sikkerhed ved fejl
Bruddet var ikke forårsaget af OpenSea selv, forklarede firmaet. Det skyldtes snarere en ansat hos Customer.io, en tredjepartsplatform hyret af OpenSea til at administrere kommunikation på sociale medier.
Dette er ikke første gang, Customer Relationship Management (CRM'er) platforme har vist sig at være en sprække i rustningen for krypto- og NFT-platforme. Så sent som i marts var en lignende CRM – Hubspot – ansvarlig for et næsten identisk databrud, der påvirkede Circle, Swan Bitcoin, BlockFi og NYDIG.
En stigning i phishing-forsøg forventes
OpenSea officielt annoncerede bruddet i et blogindlæg, der blev offentliggjort for kun få timer siden. I erklæringen advarede virksomheden brugerne om, at mængden af stjålne data er mistænkt for at være ret stor, og råder dem til at være ekstra på vagt.
På Twitter rapporterer OpenSea-kunder allerede mistænkelige e-mails, telefonopkald og beskeder rettet mod dem, som menes at finde sted på grund af information stjålet af Customer.io-medarbejderen.
Mine oplysninger blev brudt takket være OpenSea og Customer io? Lord Jeebus hjælp mig. Jeg undrede mig over, hvorfor jeg havde så mange spammy-beskeder, telefonopkald og e-mails på det seneste. ?
— Metzilmazatl (Månehjort)??️? (@TheAscendant3) 30. Juni, 2022
Talsmanden for OpenSea bekræftede også, at holdet allerede har kontaktet de relevante juridiske myndigheder om bruddet. I modsætning til nylige udnyttelser af blockchain-relaterede platforme, er dette angreb centreret om kundedata - som i modsætning til tokens er stærkt beskyttet af regeringer over hele verden.
"Hvis du tidligere har delt din e-mail med OpenSea, bør du gå ud fra, at du var påvirket. Vi arbejder sammen med Customer.io i deres igangværende undersøgelse, og vi har rapporteret denne hændelse til retshåndhævelsen. Vær venligst opmærksomme på din e-mail-praksis, og vær opmærksom på ethvert forsøg på at efterligne OpenSea via e-mail."
OpenSea er allerede begyndt at udsende e-mails til adresser, der bekræftes at være berørt, hvor de kort forklarer, hvordan bruddet opstod, og advarer brugerne om at være på deres vagt.
OpenSea databrud. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) 30. Juni, 2022
Adskillige anti-phishing best practices er også berørt i e-mailen – sammen med en påmindelse om, at opensea.io er det eneste legitime webstedsdomæne, der ejes af virksomheden. En advarsel om at undgå at downloade vedhæftede filer er også inkluderet, som gentager, at e-mails fra OpenSea som hovedregel ikke har vedhæftede filer.
Hyperlinks blev også berørt – selvom OpenSea-e-mails kan indeholde nogle, bør ethvert link, der beder en bruger om at underskrive en tegnebogstransaktion, antages at være svigagtigt.
Afslutningsvis lover OpenSea at opdatere brugerne om situationen, når det er muligt, og anmoder om, at eventuelle phishing-forsøg rapporteres til deres supportteam.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/