El mayor mercado de NFT, OpenSea, informó una violación de datos
OpenSea, una plataforma NFT, anunció hoy que ha sido pirateada nuevamente, esta vez por uno de sus proveedores. Según la firma, un empleado de Customer.io, el proveedor de entrega de correo electrónico de OpenSea, supuestamente descargó y compartió direcciones de correo electrónico almacenadas conectadas con sus cuentas y suscripciones a boletines con un tercero desconocido. Al menos una parte de los millones de direcciones de correo electrónico que se han visto comprometidas eran las utilizadas en las cuentas de OpenSea o recibidas como parte de sus suscripciones a boletines, según el jefe de seguridad de la empresa, Cory Hardman. No parece que se hayan robado contraseñas u otra información personal en este momento.
Customer.io está investigando el asunto para la empresa. “Esté atento a sus prácticas de correo electrónico y esté atento a cualquier intento de hacerse pasar por OpenSea por correo electrónico”, escribió Hardman en su declaración. No se informaron más daños por el ataque de phishing anterior en OpenSea en febrero, a diferencia de un ataque de phishing anterior en OpenSea que resultó en el robo de cientos de NFT. El número de personas afectadas por el incumplimiento, sin embargo, es considerable. Según los datos de Dune Analytics, 1,8 millones de usuarios utilizaron la red Ethereum de OpenSea para comprar bienes.
La empresa envió recientemente avisos a los usuarios de OpenSea que creía que estaban involucrados, aconsejándoles que estuvieran atentos a los correos electrónicos de phishing y otras estafas. Además, se aconsejó a los usuarios que no firmaran transacciones de billetera inmediatamente desde un correo electrónico o que comunicaran o validaran frases secretas de billetera más allá de la orientación básica, como no descargar archivos adjuntos o hacer clic en un enlace en un correo electrónico de OpenSea.
No se ha revelado la identidad del tercero al que se le proporcionaron las direcciones de correo electrónico filtradas. Customer.io declaró que el empleado que perpetró la violación tenía acceso "específico de la función" a los datos de OpenSea, de los que abusaron. “No creemos que los datos de ningún otro cliente se hayan visto comprometidos, pero continuamos nuestra investigación. Al individuo en cuestión se le ha revocado todo el acceso y está siendo investigado hasta que finalice nuestra investigación”.