OpenSea, una delle piattaforme NFT più popolari, ha segnalato una violazione dei dati che ha colpito le informazioni di identificazione personale (PII) dei clienti iscritti alla mailing list dell'azienda.
Sicurezza esterna lassista per colpa
La violazione non è stata causata dalla stessa OpenSea, ha spiegato l'azienda. Piuttosto, era dovuto a un dipendente di Customer.io, una piattaforma di terze parti assunta da OpenSea per gestire le comunicazioni sui social media.
Questa non è la prima volta che le piattaforme di Customer Relationship Management (CRM) hanno dimostrato di essere una falla nell'armatura per le piattaforme crittografiche e NFT. Fino a marzo, un CRM simile, Hubspot, è stato responsabile di una violazione dei dati quasi identica che ha colpito Circle, Swan Bitcoin, BlockFi e NYDIG.
Previsto un aumento dei tentativi di phishing
OpenSea ha annunciato ufficialmente la violazione in un post sul blog pubblicato solo poche ore fa. Nella dichiarazione, la società ha avvertito gli utenti che si sospetta che la quantità di dati rubati sia piuttosto grande, consigliando loro di essere più vigili.
Su Twitter, i clienti di OpenSea stanno già segnalando e-mail sospette, telefonate e messaggi diretti a loro, che si ritiene siano avvenuti a causa di informazioni rubate dal dipendente di Customer.io.
Le mie informazioni sono state violate grazie a OpenSea e Customer io Lord Jeebus aiutami. Mi chiedevo perché ultimamente ho ricevuto così tanti messaggi di spam, telefonate ed e-mail.
— Metzilmazatl (cervo lunare) (@TheAscendant3) 30 giugno 2022
Il portavoce di OpenSea ha anche confermato che il team ha già contattato le autorità legali competenti in merito alla violazione. A differenza dei recenti exploit delle piattaforme legate alla blockchain, questo attacco è incentrato sui dati dei clienti, che, a differenza dei token, sono fortemente protetti dai governi di tutto il mondo.
“Se in passato hai condiviso la tua email con OpenSea, dovresti presumere di essere stato colpito. Stiamo collaborando con Customer.io nelle loro indagini in corso e abbiamo segnalato questo incidente alle forze dell'ordine. Si prega di essere vigili sulle pratiche di posta elettronica e di essere attenti a qualsiasi tentativo di impersonare OpenSea via e-mail.
OpenSea ha già iniziato a inviare e-mail a indirizzi confermati essere stati interessati, spiegando brevemente come si è verificata la violazione e avvertendo gli utenti di stare in guardia.
Violazione dei dati di OpenSea. pic.twitter.com/FEtDKsoHje
— eric.eth (@econoar) 30 giugno 2022
Nell'e-mail vengono anche menzionate diverse migliori pratiche anti-phishing, insieme a un promemoria che opensea.io è l'unico dominio legittimo del sito Web di proprietà dell'azienda. È incluso anche un avviso per evitare di scaricare allegati, ribadendo che le e-mail di OpenSea non hanno allegati come regola generale.
Sono stati toccati anche i collegamenti ipertestuali: sebbene le e-mail di OpenSea possano includerne alcuni, qualsiasi collegamento che richiede a un utente di firmare una transazione di portafoglio dovrebbe essere considerato fraudolento.
In conclusione, OpenSea promette di aggiornare gli utenti sulla situazione quando possibile e richiede che eventuali tentativi di phishing vengano segnalati al proprio team di supporto.