7M Email bị rò rỉ của OpenSea được công bố đầy đủ: Báo cáo

Vụ vi phạm bảo mật làm rung chuyển OpenSea vào năm 2022 đã có bước ngoặt mới khi hơn bảy triệu địa chỉ email hiện đã được công khai, theo Giám đốc An ninh Thông tin của SlowMist, được gọi là "23pds." Vụ vi phạm này, ban đầu được báo cáo vào tháng 2022 năm XNUMX, liên quan đến việc rò rỉ địa chỉ email của người dùng từ nhà cung cấp email của OpenSea, Customer(.)io.

Sự cố OpenSea: Dòng thời gian của lỗ hổng

Vào tháng 2022 năm 120, OpenSea đang ở đỉnh cao của sự thành công, với hơn 400 triệu lượt truy cập hàng tháng và xếp hạng trong số XNUMX trang web hàng đầu toàn cầu. Trong thời gian này, một nhân viên của Customer(.)io, nhà cung cấp dịch vụ tự động hóa email, khai thác quyền truy cập của họ để trích xuất và chia sẻ địa chỉ email từ cơ sở dữ liệu người dùng của OpenSea với bên thứ ba trái phép. 

Vụ rò rỉ chủ yếu nhắm vào cơ sở người dùng của nền tảng nhưng cũng ảnh hưởng đến những nhân vật nổi tiếng trong lĩnh vực tiền điện tử, bao gồm CEO Changpeng Zhao của Binance, các công ty hàng đầu và những người có ảnh hưởng trong ngành.

Vụ rò rỉ hiện đã được công khai hoàn toàn

Chuyên gia an ninh mạng 23pds đã xác nhận trên X (trước đây là Twitter) rằng các địa chỉ email, bao gồm cả địa chỉ của những người lãnh đạo ngành, người có sức ảnh hưởng và nhà giao dịch, hiện có thể truy cập rộng rãi. Với khả năng hiển thị của họ, những cá nhân này là mục tiêu chính cho các cuộc tấn công lừa đảo, có thể gây ra thiệt hại nghiêm trọng về tài chính và danh tiếng. 

Việc công bố dữ liệu này làm tăng nguy cơ cho những cá nhân đã bị ảnh hưởng, khiến họ dễ bị lừa đảo qua email và các hoạt động độc hại khác. 23pds nhấn mạnh rằng những địa chỉ email này hiện có thể bị kẻ xấu sử dụng để tạo ra các cuộc tấn công lừa đảo có sức thuyết phục.

Lừa đảo qua mạng đã là một trong những mối đe dọa bảo mật quan trọng nhất trong không gian tiền điện tử. Dữ liệu bị xâm phạm giúp kẻ lừa đảo dễ dàng gửi email lừa đảo giống với thông tin liên lạc hợp pháp từ các thực thể đáng tin cậy như OpenSea. Những email này thường lừa người dùng nhấp vào liên kết độc hại, dẫn đến thông tin đăng nhập bị đánh cắp, tài sản kỹ thuật số hoặc thậm chí là thông tin cá nhân.

Khuyến nghị cho người dùng bị ảnh hưởng

Chuyên gia bảo mật của SlowMist khuyên tất cả người dùng có địa chỉ email là một phần của vụ vi phạm nên thực hiện các biện pháp phòng ngừa ngay lập tức. Bao gồm tạo mật khẩu mạnh, duy nhất cho tài khoản của họ và sử dụng trình quản lý mật khẩu để lưu trữ chúng một cách an toàn. Việc sử dụng xác thực hai yếu tố (2FA) cũng được khuyến nghị cao, ưu tiên các ứng dụng xác thực hơn là 2FA dựa trên SMS do tính bảo mật cao hơn.

Earlie, OpenSea cũng tăng cường các biện pháp bảo mật này, nhắc nhở người dùng phải thận trọng với các email có vẻ đến từ các tên miền OpenSea không chính thức như “opensae(.)io,” “opensea(.)org,” hoặc “opensea(.)xyz.”

Lời cảnh tỉnh cho bảo mật tiền điện tử

Các cuộc tấn công lừa đảo, xuất phát từ những vụ vi phạm như vậy, đã trở thành một vấn đề đáng kể, với hơn 1 tỷ đô la tài sản kỹ thuật số bị mất do những vụ lừa đảo này chỉ riêng trong năm 2024. Theo CertiK, hơn 250 vụ vi phạm đã xảy ra trong nửa đầu năm 2024, ảnh hưởng đến các nền tảng lớn như Binance, Crypto.com và eToro.

Vi phạm này cũng làm nổi bật các lỗ hổng hiện diện trong các dịch vụ của bên thứ ba được các nền tảng tiền điện tử sử dụng. Trong trường hợp của OpenSea, Customer().io, một đối tác đáng tin cậy về tự động hóa email, là nguồn rò rỉ này, nhấn mạnh nhu cầu về các biện pháp bảo mật mạnh mẽ hơn trên mọi cấp độ cơ sở hạ tầng của nền tảng, đặc biệt là với dữ liệu người dùng nhạy cảm.

Khám phá những dự án đầy hứa hẹn...

Các dự án đầy hứa hẹn...

Sự cố này nằm trong danh sách ngày càng dài các sự cố đáng chú ý, chẳng hạn như vụ vi phạm Ledger năm 2020 khiến thông tin cá nhân của hơn 270,000 người dùng bị lộ.