Acionada por um funcionário de um fornecedor externo que compartilhou endereços de e-mail com uma parte não autorizada, a violação pode levar a tentativas de phishing contra indivíduos afetados.
A gigante da NFT OpenSea está alertando sobre uma violação de dados que expôs os endereços de e-mail de usuários e assinantes do boletim informativo da empresa. Em um aviso publicado na quarta-feira , a OpenSea revelou que qualquer pessoa que compartilhou seu endereço de e-mail com a empresa no passado deve assumir que foi impactada.
A violação foi causada por um funcionário do Customer.io, o fornecedor de entrega de e-mail da OpenSea. Conforme descrito no aviso, o funcionário não identificado aparentemente usou indevidamente seu acesso para baixar e compartilhar endereços de e-mail de usuários do OpenSea e assinantes de newsletters com terceiros não autorizados. A OpenSea disse que está trabalhando com o Customer.io para investigar o incidente e também relatou à polícia.
Com uma avaliação recente de US$ 13,3 bilhões, a OpenSea é o maior mercado para negociação de NFTs, ou tokens não fungíveis . Comprados usando criptomoeda, os NFTs são itens digitais vinculados a um blockchain para registrar a propriedade e outros detalhes. O mais recente tipo de commodity no mundo cibernético de hoje, as NFTs são únicas e negociáveis e têm despertado o interesse de muitos colecionadores. No entanto, alguns acham que as NFTs são altamente especulativas e improváveis de se sustentar como um investimento de longo prazo.
A OpenSea não divulgou quantas pessoas ou endereços de e-mail foram comprometidos na violação, mas pode ser perto de 2 milhões. Dados coletados pelo site de análise de criptografia Dune Analytics apontam para mais de 1,8 milhão de usuários que fizeram pelo menos uma compra no OpenSea usando a rede Ethereum.
Por que a violação do OpenSea aconteceu?
Ainda não foram revelados os motivos pelos quais o funcionário do Customer.io compartilhou os endereços de e-mail externamente, mas alguns especialistas não consideram o incidente acidental.
“Dado que o indivíduo teve acesso exclusivo à conta OpenSea no Customer.io, é lógico que esse despejo maciço de e-mails provavelmente não foi autorizado e, secundariamente, pode ter sido uma ação maliciosa intencional do indivíduo”, disse Karl. Steinkamp, diretor da empresa de consultoria de segurança Coalfire. “À medida que este caso se desenrola, será interessante ver se a pessoa foi paga ou chantageada pela parte externa por esse acesso específico como um vetor para phishing e roubar NFTs de indivíduos.”
Cobertura de segurança de leitura obrigatória
Stephen Banda, gerente sênior de soluções de segurança do provedor de serviços de segurança Lookout, concorda com o resumo de Steinkamp
“Quando se trata de violação de dados no OpenSea, para mim, isso parece ter motivação financeira”, disse Banda. “Existe um mercado lucrativo para informações e credenciais roubadas. Nesse caso, 2 milhões de endereços de e-mail de clientes do maior mercado de NFTs do mundo serão altamente atraentes para maus atores que desejam lançar amplos ataques de phishing”.
O que fazer se você foi impactado
Com os endereços de e-mail comprometidos, os afetados devem se preparar para um aumento nas tentativas de phishing. A OpenSea também compartilhou as seguintes dicas para as pessoas afetadas pela violação:
Cuidado com e-mails de phishing de endereços que tentam se passar pelo OpenSea.
Apenas e-mails enviados do opensea.io são legítimos. Desconfie de e-mails que usam variações desse nome.
Nunca baixe nenhum anexo de um e-mail OpenSea
E-mails legítimos do OpenSea não vêm com anexos ou solicitações de download de arquivos.
Verifique a URL de qualquer página vinculada em um e-mail do OpenSea
Links em e-mails legítimos do OpenSea serão encaminhados para email.opensea.io. Examine todos os links para garantir que opensea.io esteja escrito corretamente.
Não compartilhe senhas ou frases secretas da carteira
A OpenSea não solicitará que você compartilhe ou confirme esse tipo de informação sensível.
Não assine uma transação de carteira diretamente de um e-mail
Os e-mails do OpenSea não contêm links que solicitam diretamente que você assine uma transação de carteira. Evite assinar qualquer transação que não liste https://opensea.io como a origem, especialmente se você chegou por e-mail.
“Os usuários também devem estar altamente cientes das imitações nas mídias sociais”, disse Ryan McCurdy, vice-presidente de marketing da Bolster, empresa de risco digital. “A comunidade de criptomoedas e NFT é extremamente ativa em canais de mídia social como Telegram e Discord. Em ambos os canais, os golpistas criaram grupos representando quase todas essas marcas. Se alguém lhe enviar um link para participar dessas comunidades, certifique-se de verificar se você está participando da verdadeira.”
Sem comentários:
Enviar um comentário