Una filtración de información en el mercado NFT OpenSea podría dejar a los clientes vulnerables a ataques de phishing.
Contenido
La divulgación no autorizada de direcciones de correo electrónico por parte de empleados de terceros podría dar lugar a estafas de phishing contra las personas afectadas.
El Phishing
OpenSea, una de las principales NFT, advirtió de una filtración de datos que filtró las direcciones de correo electrónico de los usuarios y suscriptores del boletín. En un comunicado publicado el 2 de enero, OpenSea señaló que cualquier persona que haya compartido su dirección de correo electrónico con la empresa en el pasado debería considerarse afectada por la brecha.
La violación fue causada por un empleado del proveedor de correo electrónico de OpenSea, Customer.io. Según el aviso, un empleado anónimo aparentemente abusó de los derechos de acceso para descargar las direcciones de correo electrónico de los usuarios de OpenSea y de los suscriptores del boletín informativo y las compartió con partes externas no autorizadas.OpenSea está trabajando con Customer.io para investigar este incidente y también está cooperando con las fuerzas del orden en Estamos trabajando con ellos. ha declarado que ha informado del problema.
Con una valoración actual de 13.300 millones de dólares, OpenSea es el mayor mercado para el comercio de NFT (tokens no fungibles). Los NFT, que se compran con criptomoneda, son objetos digitales vinculados a una cadena de bloques que registra la propiedad y otra información.Los NFT son la mercancía más nueva del mundo cibernético y están despertando el interés de muchos coleccionistas porque son únicos y negociables. Sin embargo, algunos sostienen que las NFT son altamente especulativas y no son adecuadas para la inversión a largo plazo.
OpenSea no ha revelado el número de personas o direcciones de correo electrónico comprometidas, pero es probable que sean alrededor de dos millones. Los datos recopilados por el sitio web de criptodivisas Dune Analytics indican que más de 1,8 millones de usuarios realizaron al menos una compra en OpenSea a través de la red Ethereum.
¿Cómo se produjo la brecha de OpenSea?
Aunque todavía no está claro por qué un empleado de Customer.io reveló su dirección de correo electrónico al mundo exterior, algunos expertos creen que el incidente no fue un accidente.
Teniendo en cuenta que esta persona tiene acceso exclusivo a la cuenta de OpenSea en Customer.io, este volcado masivo de correos electrónicos probablemente no estaba autorizado y, en segundo lugar, esta persona puede haberlo hecho intencionadamente y de mala fe”, dijo Karl. Steinkamp, director de la consultora de seguridad Coalfire”. A medida que avance el caso, investigaremos si hubo pagos o amenazas externas para este acceso particular que sirvió como medio para suplantar o robar los NFT de las personas.
Stephen Banda, director de soluciones de seguridad del proveedor de servicios de seguridad Lookout, coincide con el resumen de Steinkamp.
“En cuanto a la violación de datos de OpenSea”, dice Banda, “parece tener una motivación económica. Existe un mercado lucrativo de información y credenciales robadas. En este caso, las direcciones de correo electrónico de dos millones de clientes del mayor mercado NFT del mundo serían muy atractivas para los actores maliciosos que buscan lanzar un ataque de phishing a gran escala.” Lo explicó.
¿Qué hacer si se ve afectado por una violación de datos?
Los afectados por la violación de las direcciones de correo electrónico deben estar preparados para un aumento de las estafas de phishing. OpenSea también ha proporcionado los siguientes consejos a los afectados por esta violación de datos.
Tenga cuidado con los correos electrónicos de phishing procedentes de direcciones que suplantan a opensensea.
Sólo los correos electrónicos enviados desde opensensea.io son legítimos. Tenga cuidado con los correos electrónicos con variaciones de este nombre.
Nunca descargue los archivos adjuntos de los correos electrónicos de OpenSea.
Los correos electrónicos legítimos de OpenSea no contienen archivos adjuntos ni solicitudes de descarga de archivos.
Compruebe la URL de la página enlazada en el correo electrónico de OpenSea.
Los enlaces en los correos electrónicos legítimos de OpenSea se resuelven en email.opensensea.io. Compruebe que el enlace opensea.io está bien escrito.
No compartas las contraseñas ni las frases secretas del monedero.
OpenSea no compartirá ni pedirá confirmación de dicha información confidencial.
No firme transacciones de monedero directamente desde su correo electrónico.
Los correos electrónicos de OpenSea no contienen enlaces que le pidan directamente que firme transacciones de monedero. No firme ninguna transacción en la que no figure https://opensea.io como fuente, especialmente las que haya recibido por correo electrónico.
Ryan McCurdy, vicepresidente de marketing de la empresa de riesgos digitales Bolster, dijo: “Los usuarios también deben tener mucho cuidado con la suplantación de identidad en las redes sociales”. Las comunidades de criptomonedas y NFT son muy activas en canales de medios sociales como Telegram y Discord. En ambos canales, los estafadores han creado grupos que suplantan a la mayoría de estas marcas. Si alguien le envía un enlace para unirse a una de estas comunidades, asegúrese siempre de que se trata de una comunidad auténtica.