OpenSea, uma das plataformas mais populares de NFT, relatou uma violação de dados afetando as informações de identificação pessoal (PII) de clientes inscritos na lista de transmissão da empresa.
Falha de segurança externa da OpenSea
A violação não foi causada pela própria OpenSea, explicou a empresa. Em vez disso, foi devido a um funcionário do Customer.io, uma plataforma terceirizada contratada pela OpenSea para gerenciar as comunicações de mídia social.
Esta não é a primeira vez que as plataformas de Customer Relationship Management (CRMs) provaram ser uma brecha na segurança das plataformas de criptomoedas e NFTs.
Recentemente, em março, um CRM semelhante, a Hubspot, foi responsável por uma violação de dados quase idêntica afetando Circle, Swan Bitcoin, BlockFi e NYDIG.
Alerta para tentativas de phishing
A empresa anunciou oficialmente a violação em um post de blog publicado a algumas horas atrás.
No comunicado, a empresa alertou os usuários que suspeita-se que a quantidade de dados roubados seja bastante grande, aconselhando-os a serem mais cautelosos e ficarem atentos.
No Twitter, os clientes do OpenSea já estão relatando e-mails suspeitos, telefonemas e mensagens, que se acredita estarem ocorrendo devido as informações roubadas pelo funcionário do Customer.io.
O porta-voz da OpenSea também confirmou que a equipe já entrou em contato com as autoridades legais para informarem sobre a violação.
Diferentemente dos hacks recentes acontecidos em plataformas relacionadas a blockchain, esse ataque é centrado nos dados do cliente.
“Se você compartilhou seu e-mail com a OpenSea no passado, tenha em mente que o mesmo foi impactado. Estamos trabalhando com o Customer.io em uma investigação em andamento e relatamos esse incidente às autoridades.
Por favor, fique atento aos e-mails recebidos e esteja alerta para qualquer tentativa de se passar pela OpenSea por e-mail.”
A empresa já começou a enviar e-mails para endereços confirmados como afetados, explicando brevemente como ocorreu a violação e alertando os usuários para ficarem atentos.
Várias práticas recomendadas anti-phishing também são abordadas no e-mail. Isso, juntamente com um lembrete de que opensea.io é o único domínio de site legítimo de propriedade da empresa.
Um aviso para evitar o download de anexos também está incluído, reiterando que os e-mails do OpenSea não possuem anexos como regra geral.
Os hiperlinks também foram abordados, embora os e-mails do OpenSea possam incluir alguns, qualquer link solicitando que um usuário assine uma transação de carteira deve ser considerado fraudulento.
Para encerrar, a OpenSea promete atualizar os usuários sobre a situação assim que possível. Além disso, solicita que qualquer tentativa de phishing seja relatada à sua equipe de suporte.
LEIA MAIS: Máquinas paradas: mineradoras enfrentam problemas com baixa do bitcoin