7 миллионов утекших электронных писем OpenSea полностью опубликованы: отчет

Проблема нарушения безопасности, потрясшая OpenSea в 2022 году, приобрела новый оборот: по словам директора по информационной безопасности SlowMist, известного как «...более семи миллионов адресов электронной почты теперь стали общедоступными».23pdsЭта утечка, о которой впервые было сообщено в июне 2022 года, была связана с утечкой адресов электронной почты пользователей поставщика услуг электронной почты OpenSea, Customer(.)io.

Нарушение OpenSea: хронология уязвимости

В июне 2022 года OpenSea достиг пика своего успеха, имея более 120 миллионов посетителей в месяц и входя в число 400 крупнейших сайтов мира. В это время сотрудник Customer(.)io, поставщика услуг автоматизации электронной почты, Эксплуатируемый их доступ к извлечению и передаче адресов электронной почты из базы данных пользователей OpenSea неавторизованной третьей стороне. 

Утечка в первую очередь затронула пользовательскую базу платформы, но также затронула видных деятелей в секторе криптовалют, включая генерального директора Binance Чанпэна Чжао, ведущие компании и влиятельных лиц отрасли.

Утечка теперь полностью раскрыта

Эксперт по кибербезопасности 23pds подтвердил в X (ранее Twitter), что адреса электронной почты, включая адреса лидеров отрасли, влиятельных лиц и трейдеров, теперь широко доступны. Учитывая их известность, эти лица являются основными целями фишинговых атак, которые могут нанести серьёзный финансовый и репутационный ущерб. 

Публикация этих данных увеличивает риск для уже пострадавших лиц, делая их уязвимыми для фишинговых атак и других вредоносных действий. 23pds подчеркивает, что эти адреса электронной почты теперь могут использоваться злоумышленниками для создания убедительных фишинговых атак.

Фишинговые атаки уже являются одной из самых серьёзных угроз безопасности в криптопространстве. Скомпрометированные данные позволяют мошенникам отправлять поддельные электронные письма, выдавая их за легитимные сообщения от доверенных организаций, таких как OpenSea. Такие письма часто заставляют пользователей переходить по вредоносным ссылкам, что приводит к краже учётных данных, цифровых активов или даже личной информации.

Рекомендации для пострадавших пользователей

Эксперт по безопасности SlowMist посоветовал всем пользователям, чьи адреса электронной почты подверглись взлому, немедленно принять меры предосторожности. В частности, необходимо создать надёжные, уникальные пароли для своих учётных записей и использовать менеджер паролей для их безопасного хранения. Также настоятельно рекомендуется использовать двухфакторную аутентификацию (2FA), отдавая предпочтение приложениям-аутентификаторам, а не 2FA на основе SMS, поскольку они более безопасны.

Ранее OpenSea также усилила меры безопасности, напомнив пользователям о необходимости проявлять осторожность в отношении писем, которые, по всей видимости, приходят с неофициальных доменов OpenSea, таких как «opensae(.)io», «opensea(.)org» или «opensea(.)xyz».

Тревожный звонок для криптобезопасности

Фишинговые атаки, возникающие в результате подобных нарушений, стали серьёзной проблемой: только в 1 году из-за этих мошеннических действий цифровые активы были утеряны на сумму более 2024 миллиарда долларов. По данным CertiK, в первой половине 250 года произошло более 2024 нарушений, затронувших такие крупные платформы, как Binance, Crypto.com и eToro.

Утечка также выявила уязвимости сторонних сервисов, используемых криптоплатформами. В случае OpenSea источником утечки стал Customer().io, доверенный партнер по автоматизации электронной почты, что подчеркивает необходимость усиления мер безопасности на всех уровнях инфраструктуры платформы, особенно в отношении конфиденциальных пользовательских данных.

Откройте для себя перспективные проекты...

Перспективные проекты...

(Рекламное объявление)

Продолжение статьи...

Это пополнение растущего списка громких инцидентов, таких как взлом Ledger в 2020 году, в результате которого были раскрыты личные данные более 270,000 XNUMX пользователей.