Торговая площадка по продаже NFT OpenSea сообщила о масштабной утечке данных. Пользователей просят быть осторожнее

Площадка OpenSea, пользователи которой могут создавать NFT и продавать или покупать их, сообщила об утечке электронных адресов. Сотрудник поставщика услуг по доставке электронной почты Customer.io использовал служебный доступ для передачи адресов электронной почты «неавторизованной третьей стороне». Это адреса, которыми пользователи и подписчики компании поделились с OpenSea.

Kharkov, Ukraine - December 17, 2021: OpenSea marketplace for NFT selling. Logo closeup on mobile phone screen. Concept of cryptoart, digital arts and collectibles

«Мы сотрудничаем с Customer.io в рамках проводимого ими расследования и сообщили об этом инциденте в правоохранительные органы», – говорится в сообщении компании в блоге.

И, поскольку речь идет о криптовалютах, почти наверняка практически каждый пользователь OpenSea начнет получать фишинговые письма с целью выдать себя за OpenSea и заставить их установить вредоносное ПО или передать свои криптовалютные приватные ключи.

OpenSea data breach. pic.twitter.com/FEtDKsoHje

— eric.eth (@econoar) June 30, 2022

Пострадавшие от взлома пользователи уже уведомлены. Им дали рекомендации по безопасности, чтобы не стать жертвами мошенников:

• остерегайтесь фишинговых писем с адресов, пытающихся выдать себя за OpenSea. OpenSea будет отправлять вам электронные письма только из домена: opensea.io. Если письма пришли с другого домена, не нужно открывать ссылки или загружать какие-либо файлы. Настоящие электронные письма от OpenSea не содержат вложений или запросов на загрузку чего-либо;
• проверяйте URL-адрес всех страниц в электронном письме от OpenSea. Они будут включать только гиперссылки на URL-адреса «email.opensea.io». Убедитесь, что «opensea.io» написано правильно, так как злоумышленники могут изменять URL-адреса, меняя буквы;
• не сообщайте и не подтверждайте пароли или секретные вопросы для своего кошелька. OpenSea никогда не запрашивает такие данные;
• никогда не подписывайте транзакцию кошелька из письма. Электронные письма от OpenSea не содержат ссылок для подписания транзакций. Также не одобряйте транзакции кошелька, в которой не указано происхождение https://opensea.io, если вас перенаправило по ссылке в электронной почте.

Это далеко не первая проблема безопасности в истории OpenSea. В январе хакеры воспользовались уязвимостью, чтобы продать NFT пользователей и оставить прибыль себе; в мае был взломан Discord OpenSea. Также в июне сотрудник OpenSea был арестован за инсайдерскую торговлю.