OpenSea – een van de meest populaire NFT-centrische platforms – heeft een datalek gemeld dat de persoonlijk identificeerbare informatie (PII) beïnvloedt van klanten die zijn geabonneerd op de mailinglijst van het bedrijf.
Laffe externe beveiliging die de schuld heeft
De inbreuk werd niet veroorzaakt door OpenSea zelf, legde het bedrijf uit. Het was eerder te danken aan een medewerker van Customer.io, een extern platform dat door OpenSea was ingehuurd om de communicatie via sociale media te beheren.
Dit is niet de eerste keer dat CRM-platforms (Customer Relationship Management) een spil in het pantser zijn gebleken voor crypto- en NFT-platforms. Nog in maart was een soortgelijk CRM – Hubspot – verantwoordelijk voor een vrijwel identiek datalek waarbij Circle, Swan Bitcoin, BlockFi en NYDIG betrokken waren.
Er wordt een toename van het aantal phishing-pogingen verwacht
OpenSea officieel aangekondigd de inbreuk in een blogpost die slechts een paar uur geleden werd gepubliceerd. In de verklaring waarschuwde het bedrijf gebruikers dat de hoeveelheid gestolen gegevens vermoedelijk vrij groot is, en adviseerde het hen extra waakzaam te zijn.
Op Twitter melden OpenSea-klanten al verdachte e-mails, telefoontjes en berichten die aan hen zijn gericht, waarvan wordt aangenomen dat ze plaatsvinden vanwege informatie die is gestolen door de Customer.io-medewerker.
Mijn gegevens zijn geschonden dankzij OpenSea en Customer io? Heer Jeebus, help me. Ik vroeg me af waarom ik de laatste tijd zoveel spamberichten, telefoontjes en e-mails kreeg. ?
— Metzilmazatl (Maanhert)??️? (@TheAscendant3) 30 June 2022
De woordvoerder van OpenSea bevestigde ook dat het team al contact heeft opgenomen met de relevante juridische autoriteiten over de inbreuk. In tegenstelling tot recente exploits van blockchain-gerelateerde platforms, concentreert deze aanval zich op klantgegevens – die, in tegenstelling tot tokens, zwaar worden beschermd door overheden over de hele wereld.
“Als je in het verleden je e-mail met OpenSea hebt gedeeld, moet je ervan uitgaan dat je getroffen bent. We werken samen met Customer.io in hun lopende onderzoek en we hebben dit incident gemeld aan de politie. Blijf waakzaam over uw e-mailpraktijken en wees alert op elke poging om zich via e-mail voor OpenSea uit te geven.”
OpenSea is al begonnen met het versturen van e-mails naar adressen waarvan is bevestigd dat ze zijn getroffen, waarin kort wordt uitgelegd hoe de inbreuk tot stand is gekomen en gebruikers worden gewaarschuwd om op hun hoede te zijn.
OpenSea datalek. pic.twitter.com/FEtDKsoHje
- eric.eth (@econoar) 30 June 2022
In de e-mail worden ook verschillende best practices op het gebied van antiphishing besproken – samen met een herinnering dat opensea.io het enige legitieme websitedomein is dat eigendom is van het bedrijf. Er is ook een waarschuwing opgenomen om het downloaden van bijlagen te vermijden, waarbij wordt herhaald dat e-mails van OpenSea in de regel geen bijlagen bevatten.
Hyperlinks werden ook ter sprake gebracht: hoewel de e-mails van OpenSea er enkele kunnen bevatten, moet elke link die een gebruiker ertoe aanzet een portefeuilletransactie te ondertekenen, als frauduleus worden beschouwd.
Tot slot belooft OpenSea gebruikers waar mogelijk op de hoogte te houden van de situatie en verzoekt het om eventuele phishing-pogingen te melden aan hun ondersteuningsteam.
Binance gratis $ 100 (exclusief): Gebruik deze link om u te registreren en de eerste maand $ 100 gratis en 10% korting te ontvangen op Binance Futures (termen).
PrimeXBT Speciale aanbieding: Gebruik deze link om te registreren en de POTATO50-code in te voeren om tot $7,000 op uw stortingen te ontvangen.
Bron: https://cryptopotato.com/opensea-reports-data-breach-warns-customers-of-possible-phishing-attempts/