Der größte NFT-Marktplatz OpenSea meldete eine Datenschutzverletzung

Von: Michael Korgs | 01.07.2022, 11:41

OpenSea, eine NFT-Plattform, gab heute bekannt, dass sie erneut gehackt wurde - dieses Mal von einem ihrer Lieferanten. Nach Angaben des Unternehmens soll ein Mitarbeiter von Customer.io, dem E-Mail-Zustellungsanbieter von OpenSea, gespeicherte E-Mail-Adressen, die mit ihren Konten und Newsletter-Abonnements verbunden sind, heruntergeladen und mit einem unbekannten Dritten geteilt haben. Zumindest ein Teil der Millionen von E-Mail-Adressen, die kompromittiert wurden, waren diejenigen, die für OpenSea-Konten verwendet oder als Teil der Newsletter-Abonnements erhalten wurden, so der Sicherheitschef des Unternehmens, Cory Hardman. Es sieht nicht so aus, als ob Passwörter oder andere persönliche Informationen gestohlen wurden.

Customer.io untersucht die Angelegenheit für das Unternehmen. "Bitte seien Sie wachsam in Bezug auf Ihre E-Mail-Praktiken und halten Sie Ausschau nach Versuchen, sich per E-Mail als OpenSea auszugeben", schrieb Hardman in seinem Statement. Im Gegensatz zu einem früheren Phishing-Angriff auf OpenSea im Februar, bei dem Hunderte von NFTs gestohlen wurden, wurden keine weiteren Schäden gemeldet. Die Zahl der von der Sicherheitsverletzung betroffenen Personen ist jedoch beträchtlich. Nach Angaben von Dune Analytics nutzten 1,8 Millionen Nutzer das Ethereum-Netzwerk von OpenSea, um Waren zu kaufen.

Das Unternehmen hat kürzlich Mitteilungen an OpenSea-Nutzer verschickt, von denen es glaubt, dass sie betroffen sind, und ihnen geraten, sich vor Phishing-E-Mails und anderen Betrügereien in Acht zu nehmen. Den Nutzern wurde außerdem geraten, keine Wallet-Transaktionen unmittelbar aus einer E-Mail heraus zu unterzeichnen oder geheime Wallet-Phrasen zu kommunizieren oder zu validieren, abgesehen von grundlegenden Hinweisen wie dem, keine Anhänge herunterzuladen oder auf einen Link in einer OpenSea-E-Mail zu klicken.

Die Identität der dritten Partei, an die die durchgesickerten E-Mail-Adressen weitergegeben wurden, wurde nicht bekannt gegeben. Customer.io erklärte, dass der Mitarbeiter, der den Verstoß begangen hat, "rollenspezifischen" Zugang zu OpenSea-Daten hatte, den er missbrauchte. "Wir glauben nicht, dass die Daten anderer Kunden gefährdet wurden, aber wir setzen unsere Ermittlungen fort. Der betreffenden Person wurde jeglicher Zugang entzogen und es wird bis zum Abschluss unserer Untersuchung gegen sie ermittelt."