OpenSea – eine der beliebtesten NFT-zentrierten Plattformen – hat eine Datenschutzverletzung gemeldet, die die personenbezogenen Daten (PII) von Kunden betrifft, die die Mailingliste des Unternehmens abonniert haben.
Laxe externe Sicherheit an der Schuld
Der Verstoß sei nicht von OpenSea selbst verursacht worden, erklärte die Kanzlei. Vielmehr lag es an einem Mitarbeiter von Customer.io, einer von OpenSea beauftragten Drittanbieterplattform zur Verwaltung der Social-Media-Kommunikation.
Dies ist nicht das erste Mal, dass sich CRM-Plattformen (Customer Relationship Management) als Schwachstelle für Krypto- und NFT-Plattformen erwiesen haben. Noch im März war ein ähnliches CRM – Hubspot – für eine nahezu identische Datenschutzverletzung verantwortlich, die Circle, Swan Bitcoin, BlockFi und NYDIG betraf.
Ein Anstieg bei Phishing-Versuchen erwartet
OpenSea hat die Sicherheitslücke in einem erst vor wenigen Stunden veröffentlichten Blogbeitrag offiziell bekannt gegeben. In der Erklärung warnte das Unternehmen die Benutzer, dass die Menge der gestohlenen Daten vermutlich ziemlich groß ist, und riet ihnen, besonders wachsam zu sein.
Auf Twitter melden OpenSea-Kunden bereits verdächtige E-Mails, Telefonanrufe und an sie gerichtete Nachrichten, die vermutlich auf gestohlene Informationen des Customer.io-Mitarbeiters zurückzuführen sind.
Meine Daten wurden dank OpenSea und Customer io verletzt 😂 Lord Jeebus, hilf mir. Ich habe mich gefragt, warum ich in letzter Zeit so viele Spam-SMS, Telefonanrufe und E-Mails hatte. 🙄
– Mezilmazatl (Mondhirsch)🪶🏳️🌈 (@TheAscendant3) 30. Juni 2022
Der Sprecher von OpenSea bestätigte auch, dass das Team bereits die zuständigen Justizbehörden wegen des Verstoßes kontaktiert habe. Im Gegensatz zu den jüngsten Exploits von Blockchain-bezogenen Plattformen konzentriert sich dieser Angriff auf Kundendaten – die im Gegensatz zu Token von Regierungen auf der ganzen Welt streng geschützt werden.
„Wenn Sie Ihre E-Mail in der Vergangenheit mit OpenSea geteilt haben, sollten Sie davon ausgehen, dass Sie davon betroffen waren. Wir arbeiten mit Customer.io an der laufenden Untersuchung und haben diesen Vorfall den Strafverfolgungsbehörden gemeldet. Bitte bleiben Sie wachsam in Bezug auf Ihre E-Mail-Praktiken und achten Sie auf jeden Versuch, sich per E-Mail als OpenSea auszugeben.“
OpenSea hat bereits damit begonnen, E-Mails an bestätigte betroffene Adressen zu versenden, in denen kurz erklärt wird, wie es zu dem Verstoß kam, und die Benutzer gewarnt werden, auf der Hut zu sein.
OpenSea-Datenpanne. pic.twitter.com/FEtDKsoHje
– eric.eth (@econoar) 30. Juni 2022
In der E-Mail werden auch mehrere Anti-Phishing-Best Practices angesprochen – zusammen mit einer Erinnerung, dass opensea.io die einzige legitime Website-Domain ist, die dem Unternehmen gehört. Eine Warnung, das Herunterladen von Anhängen zu vermeiden, ist ebenfalls enthalten und wiederholt, dass E-Mails von OpenSea grundsätzlich keine Anhänge enthalten.
Hyperlinks wurden ebenfalls angesprochen – obwohl OpenSea-E-Mails einige enthalten können, sollte jeder Link, der einen Benutzer auffordert, eine Wallet-Transaktion zu unterzeichnen, als betrügerisch angesehen werden.
Abschließend verspricht OpenSea, Benutzer wann immer möglich über die Situation auf dem Laufenden zu halten, und fordert, dass alle Phishing-Versuche ihrem Support-Team gemeldet werden.
<script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>