Il popolare market NFT OpenSea ha allertato i propri utenti tramite e-mail, avvertendoli di una fuga di dati. La Società è quindi preoccupata per lo scenario futuro che potrebbe delinearsi, fatto di attacchi di phishing ai danni dei propri clienti e dei loro wallet.
Indice degli argomenti
Un data breach dall’interno contro OpenSea
Il noto market di Token Non Fungibili (NFT) OpenSea è dunque di nuovo al centro della cronaca per la recente comunicazione che sta volontariamente distribuendo tra gli utenti. Si parla infatti di una fuga di dati utente. Il market ha all’attivo 600mila utenti che effettuano transazione per circa 20 miliardi di dollari finora. Questa grossa popolarità è la discriminante che preoccupa di più, anche se al momento non viene dettagliata la quantità di dati che sono stati persi.
La causa di questo incidente informatico, tuttavia, non è da ricercarsi in penetrazioni e sfruttamenti di particolari vulnerabilità dall’esterno, ma dall’azione inopportuna di un dipendente. Sembra, infatti, che una persona dello staff di Customer.io abbia abusato della propria posizione privilegiata per accedere e condividere indirizzi e-mail con attori di terze parti non autorizzati. La società non ha fornito un’indicazione del numero di utenti interessati dalla violazione dei dati, ma ha avvertito di un aumento del rischio di attacchi di phishing. Conoscendo, come detto, la dimensione del colosso crypto, il potenziale impatto potrebbe essere enorme.
Nella comunicazione agli utenti, OpenSea fornisce anche alcune linee guida sulle azioni da intraprendere in questo momento delicato sottolineando che “se in passato hai condiviso la tua e-mail con OpenSea, dovresti presumere di essere stato coinvolto. Stiamo collaborando con Customer.io nella loro indagine in corso e abbiamo segnalato questo incidente alle forze dell’ordine”.
2) NEVER download anything from an OpenSea email.
3) Check the URL of any page linked in an OpenSea email. We will only include hyperlinks to ‘https://t.co/6DP9oUa4Rx.’ URLs.
4) NEVER share your seed phrase with anyone – we'll never ask for it.
— OpenSea (@opensea) June 30, 2022
Non sono mancati, ovviamente, gli avvertimenti sull’imminente rischio di phishing, che potrebbe realizzarsi ai danni dell’URL ufficiale di OpenSea, con piccoli escamotage che ne variano di poco il dominio e invitano la vittima a firmare transazioni con link creati ad hoc. Questo è un passaggio molto delicato, a cui prestare massima attenzione. Mai firmare transazioni via e-mail. Effettuare l’operazione sempre tramite piattaforma interna alla propria area riservata. Una transazione firmata, qualora in mano a utenti malintenzionati equivale alla perdita immediata del valore economico di quella transazione stessa.
Il caso della vulnerabilità che consentiva di acquistare NFT “in saldo”
OpenSea di recente è stata coinvolta in un allarme di truffa a seguito della scoperta, da parte di un ricercatore di sicurezza, di una vulnerabilità che permetteva di acquistare NFT a vecchi prezzi di listino per poi rivenderli a prezzi superiori, lasciando all’asciutto l’originale proprietario di quell’NFT.
