Торговий майданчик з продажу NFT OpenSea повідомив про масштабний витік даних. Користувачів просять бути обережнішими

Майданчик OpenSea, користувачі якого можуть створювати NFT та продавати або купувати їх, повідомив про витік електронних адрес. Співробітник постачальника послуг по доставленню електронної пошти Customer.io використовував службовий доступ для передачі адрес електронної пошти «неавторизованій третій стороні». Це адреси, якими користувачі та передплатники компанії поділилися з OpenSea.

Kharkov, Ukraine - December 17, 2021: OpenSea marketplace for NFT selling. Logo closeup on mobile phone screen. Concept of cryptoart, digital arts and collectibles

«Ми співпрацюємо з Customer.io в рамках проведеного ними розслідування і повідомили про цей інцидент у правоохоронні органи», – йдеться у повідомленні компанії у блозі.

І, оскільки йдеться про криптовалюти, майже напевно практично кожен користувач OpenSea почне отримувати фішингові листи з метою видати себе за OpenSea і змусити їх встановити шкідливе програмне забезпечення або передати свої криптовалютні приватні ключі.

OpenSea data breach. pic.twitter.com/FEtDKsoHje

— eric.eth (@econoar) June 30, 2022

Користувачі, які постраждали від злому, вже повідомлені. Їм дали рекомендації щодо безпеки, щоб не стати жертвами шахраїв:

• остерігайтеся фішингових листів з адрес, які намагаються видати себе за OpenSea. OpenSea надсилатиме вам електронні листи тільки з домену: opensea.io. Якщо листи надійдуть з іншого домену, не потрібно відкривати посилання або завантажувати будь-які файли. Ці електронні листи від OpenSea не містять вкладень або запитів на завантаження чогось;
• перевіряйте URL-адресу всіх сторінок в електронному листі від OpenSea. Вони включатимуть лише гіперпосилання на URL-адресу «email.opensea.io». Переконайтеся, що «opensea.io» написано правильно, оскільки зловмисники можуть змінювати URL-адреси, змінюючи літери;
• не повідомляйте та не підтверджуйте паролі чи секретні питання для свого гаманця. OpenSea ніколи не запитує такі дані;
• ніколи не підписуйте транзакцію гаманця з листа. Електронні листи від OpenSea не містять посилань на підписання транзакцій. Також не схвалюйте транзакції гаманця, в якому не вказано походження https://opensea.io, якщо вас перенаправило за посиланням електронною поштою.

Це не перша проблема безпеки в історії OpenSea. У січні хакери скористалися вразливістю, щоб продати NFT користувачів та залишити прибуток собі; у травні був зламаний Discord OpenSea. Також у червні співробітника OpenSea було заарештовано за інсайдерську торгівлю.