Ведущая торговая NFT-площадка OpenSea сообщила об утечке адресов электронной почты своих пользователей и предупредила о возможной волне фишинговых атак.
Сотрудник сервиса рассылок Customer, услугами которого пользуется OpenSea, использовал служебное положение и передал третьей стороне список email-адресов пользователей маркетплейса.
«Если вы делились своей электронной почтой с OpenSea в прошлом, вы должны предположить, что вы пострадали», — сообщила OpenSea. Компания добавила, что она работает с Customer.io в рамках текущего расследования и сообщила об инциденте в правоохранительные органы.
Согласно данным Dune Analytics, более 1,8 миллиона пользователей совершили хотя бы одну покупку через сеть Ethereum в OpenSea.
«Мы считаем, что это произошло из-за действий сотрудника, который имел права доступа к определенным данным», — сказал TechCrunch представитель Customer.io. «Мы не считаем, что данные других клиентов были скомпрометированы, но продолжаем расследование. У рассматриваемого сотрудника был удален доступ, и он был отстранен от работы до завершения нашего расследования».
OpenSea направила пользователям информационное письмо о возможных фишинговых атаках в ближайшее время и призвала не переходить по ссылкам, ничего не загружать, не подписывать какие-либо транзакции и не раскрывать сид-фразы.
Кража адресов электронной почты – один из популярных способов у киберпреступников для осуществления фишинговых атак. Например, в марте утечка данных в HubSpot, компании-разработчике программного обеспечения для управления взаимоотношениями с клиентами, привела к утечке данных пользователей BlockFi, Circle и других. В декабре 2021 киберпреступник взломал Discord-бота ожидающего запуска NFT-маркетплейса Fractal и распространил текст с фишинговой ссылкой. В результате пользователи перевели неизвестному 864 SOL (более $154 000).