7 milionów e-maili OpenSea ujawnionych w całości: raport

Wyciek bezpieczeństwa, który wstrząsnął firmą OpenSea w 2022 r., przybrał nowy obrót, ponieważ według dyrektora ds. bezpieczeństwa informacji SlowMist, znanego jako „23 funty." To naruszenie bezpieczeństwa, zgłoszone po raz pierwszy w czerwcu 2022 r., polegało na wycieku adresów e-mail użytkowników z dostawcy poczty e-mail OpenSea, Customer(.)io.

Naruszenie bezpieczeństwa OpenSea: chronologia podatności

W czerwcu 2022 roku OpenSea osiągnęła szczyt sukcesu, z ponad 120 milionami odwiedzających miesięcznie i plasując się w czołówce 400 najlepszych stron internetowych na świecie. W tym czasie pracownik Customer(.)io, dostawcy automatyzacji poczty e-mail, eksploatowany ich dostęp do wyodrębniania i udostępniania adresów e-mail z bazy danych użytkowników OpenSea nieautoryzowanym osobom trzecim. 

Wyciek dotyczył przede wszystkim użytkowników platformy, ale naraził również na szwank wpływowe postacie z sektora kryptowalut, w tym dyrektora generalnego Binance, Changpenga Zhao, wiodące firmy i osoby wpływowe w branży.

Wyciek został już w pełni ujawniony

Ekspert ds. cyberbezpieczeństwa 23pds potwierdził na Twitterze, że adresy e-mail, w tym adresy liderów branży, influencerów i traderów, są obecnie powszechnie dostępne. Ze względu na swoją widoczność, osoby te są głównym celem ataków phishingowych, które mogą spowodować poważne straty finansowe i utratę reputacji. 

Upublicznienie danych zwiększa ryzyko dla osób, które już padły ofiarą tego typu ataków, czyniąc je podatnymi na oszustwa phishingowe i inne złośliwe działania. 23pds podkreśliło, że te adresy e-mail mogą teraz zostać wykorzystane przez osoby naruszające prawo do tworzenia przekonujących ataków phishingowych.

Oszustwa phishingowe są już jednym z najpoważniejszych zagrożeń bezpieczeństwa w branży kryptowalut. Wykradzione dane ułatwiają oszustom wysyłanie fałszywych wiadomości e-mail, które przypominają legalną korespondencję od zaufanych podmiotów, takich jak OpenSea. Wiadomości te często nakłaniają użytkowników do kliknięcia w złośliwe linki, co prowadzi do kradzieży danych logowania, zasobów cyfrowych, a nawet danych osobowych.

Zalecenia dla użytkowników, których dotyczy problem

Ekspert ds. bezpieczeństwa SlowMist zalecił wszystkim użytkownikom, których adresy e-mail zostały wykorzystane w ataku, natychmiastowe podjęcie środków ostrożności. Obejmują one utworzenie silnych, unikalnych haseł do kont i korzystanie z menedżera haseł do ich bezpiecznego przechowywania. Zdecydowanie zaleca się również korzystanie z uwierzytelniania dwuskładnikowego (2FA), a ze względu na większe bezpieczeństwo preferowane są aplikacje uwierzytelniające niż uwierzytelnianie dwuskładnikowe oparte na SMS-ach.

Wcześniej firma OpenSea wzmocniła te środki bezpieczeństwa, przypominając użytkownikom o konieczności zachowania ostrożności w przypadku wiadomości e-mail, które prawdopodobnie pochodzą z nieoficjalnych domen OpenSea, takich jak „opensae(.)io”, „opensea(.)org” lub „opensea(.)xyz”.

Sygnał ostrzegawczy dla bezpieczeństwa kryptowalut

Ataki phishingowe, będące wynikiem takich naruszeń, stały się poważnym problemem – w samym 2024 roku w wyniku tych oszustw utracono aktywa cyfrowe o wartości ponad 1 miliarda dolarów. Według CertiK, w pierwszej połowie 2024 roku doszło do ponad 250 naruszeń, które dotknęły główne platformy, takie jak Binance, Crypto.com i eToro.

Wyciek danych uwypukla również luki w zabezpieczeniach usług firm trzecich wykorzystywanych przez platformy kryptowalutowe. W przypadku OpenSea, źródłem wycieku był Customer().io, zaufany partner w zakresie automatyzacji poczty e-mail, co podkreśla potrzebę stosowania silniejszych środków bezpieczeństwa na wszystkich poziomach infrastruktury platformy, zwłaszcza w przypadku wrażliwych danych użytkowników.

Odkryj obiecujące projekty...

Obiecujące projekty...

(Reklama)

Artykuł ciąg dalszy...

Jest to kolejny przykład nagłośnionego incydentu, takiego jak naruszenie bezpieczeństwa firmy Ledger w 2020 r., w wyniku którego ujawniono dane osobowe ponad 270 000 użytkowników.