7 millió kiszivárgott OpenSea e-mail került nyilvánosságra: Jelentés

A 2022-ben az OpenSea-t megrázó biztonsági incidens új fordulatot vett, mivel több mint hétmillió e-mail cím érhető el nyilvánosan – állítja a SlowMist információbiztonsági igazgatója, az úgynevezett „…23 nap/napEz a biztonsági rés, amelyről eredetileg 2022 júniusában számoltak be, az OpenSea e-mail-szolgáltatójától, a Customer(.)io-tól származó felhasználói e-mail-címek kiszivárgásával járt.

Az OpenSea betörése: A sebezhetőség idővonala

2022 júniusában az OpenSea sikerei csúcsán volt, több mint 120 millió havi látogatóval, és a világ 400 legjobb weboldala közé tartozott. Ez idő alatt a Customer(.)io, az e-mail automatizálási szolgáltató egyik alkalmazottja... Hasznosított hozzáférésük az OpenSea felhasználói adatbázisából származó e-mail címek kinyeréséhez és megosztásához jogosulatlan harmadik féllel. 

A szivárogtatás elsősorban a platform felhasználói bázisát célozta meg, de a kriptovaluta-szektor prominens személyiségeit is veszélyeztette, köztük a Binance vezérigazgatóját, Changpeng Zhaót, vezető cégeket és iparági befolyásos személyeket.

A szivárgás most már teljes nyilvánosságra került

A 23pds kiberbiztonsági szakértő az X-en (korábban Twitter) megerősítette, hogy az e-mail címek, beleértve az iparági vezetők, influenszerek és kereskedők címeit is, most már széles körben elérhetők. Láthatóságuk miatt ezek a személyek elsődleges célpontjai az adathalász támadásoknak, amelyek súlyos pénzügyi és reputációs károkat okozhatnak. 

Ez az adatközlés felerősíti a már érintett egyének kockázatát, sebezhetővé téve őket az adathalász csalásokkal és más rosszindulatú tevékenységekkel szemben. A 23pds hangsúlyozta, hogy ezeket az e-mail címeket mostantól rosszindulatú szereplők használhatják meggyőző adathalász támadások létrehozására.

Az adathalász csalások már most is az egyik legjelentősebb biztonsági fenyegetést jelentik a kriptovilágban. A kiszivárgott adatok megkönnyítik a csalók számára, hogy megtévesztő e-maileket küldjenek, amelyek megbízható szervezetektől, például az OpenSea-től származó legitim kommunikációnak tűnnek. Ezek az e-mailek gyakran ráveszik a felhasználókat, hogy rosszindulatú linkekre kattintsanak, ami ellopott bejelentkezési adatokhoz, digitális eszközökhöz vagy akár személyes adatokhoz vezethet.

Ajánlások az érintett felhasználók számára

A SlowMist biztonsági szakértője azt tanácsolta minden olyan felhasználónak, akinek az e-mail címe érintett volt a behatolásban, hogy azonnal tegyenek óvintézkedéseket. Ezek közé tartozik az erős, egyedi jelszavak létrehozása a fiókjukhoz, és jelszókezelő használata a biztonságos tárolásukhoz. A kétfaktoros hitelesítés (2FA) használata is erősen ajánlott, a fokozott biztonság miatt előnyben részesítve a hitelesítő alkalmazásokat az SMS-alapú 2FA-val szemben.

Earlie-vel az OpenSea megerősítette ezeket a biztonsági intézkedéseket, emlékeztetve a felhasználókat, hogy legyenek óvatosak az olyan e-mailekkel, amelyek látszólag nem hivatalos OpenSea domainekről érkeznek, mint például az „opensae(.)io”, az „opensea(.)org” vagy az „opensea(.)xyz”.

Ébresztő a kriptovaluta-biztonság terén

Az ilyen jellegű adathalász támadások jelentős problémává váltak, csak 2024-ben több mint 1 milliárd dollár értékű digitális eszköz veszett oda ezek miatt a csalások miatt. A CertiK szerint 2024 első felében több mint 250 incidens történt, amelyek olyan nagyobb platformokat érintettek, mint a Binance, a Crypto.com és az eToro.

A behatolás rávilágít a kriptoplatformok által használt harmadik féltől származó szolgáltatásokban jelen lévő sebezhetőségekre is. Az OpenSea esetében a Customer().io, egy megbízható e-mail automatizálási partner volt a szivárgás forrása, ami aláhúzza a platform infrastruktúrájának minden szintjén erősebb biztonsági intézkedések szükségességét, különösen az érzékeny felhasználói adatok esetében.

Fedezze fel az ígéretes projekteket...

Ígéretes projektek...

(Hirdetés)

A cikk folytatódik...

Ez egyre növekvő számú, nagy nyilvánosságot kapott incidens listájához csatlakozik, mint például a Ledger 2020-as incidens, amely több mint 270 000 felhasználó személyes adatait hozta nyilvánosságra.