E-posta adreslerini NFT marketplace ile paylaşan tüm kullanıcılar şunları söyledi: ‘Etkilendiğinizi varsayın’
GÜNCELLENMİŞ Dünyanın en büyük takas edilemeyen token (NFT) pazarı olan OpenSea, üçüncü taraf bir satıcıdaki haydut bir çalışanın, kullanıcılarının e-posta adreslerini yetkisiz bir harici varlıkla paylaştığını ortaya çıkardı.
OpenSea güvenlik şefi Cory Hardman, “Geçmişte e-postanızı OpenSea ile paylaştıysanız, etkilendiğinizi varsaymalısınız.” Blog yazısı 29 Haziran’da.
İddia edilen suçlu, pazarlamacılar tarafından e-posta, push bildirimleri ve SMS mesajları oluşturmak ve göndermek için kullanılan otomatik bir mesajlaşma platformu olan Customer.io tarafından istihdam edildi.
En son blockchain güvenlik haberlerini yakalayın
“Geçenlerde bir Customer.io çalışanının, bizim e-posta Hardman, OpenSea kullanıcıları ve haber bültenimize aboneler tarafından sağlanan e-posta adreslerini indirmek ve paylaşmak için çalışanlarının erişimini yetkisiz bir dış tarafla kötüye kullandı” dedi.
“Devam eden soruşturmalarında Customer.io ile birlikte çalışıyoruz ve bu olayı kolluk kuvvetlerine bildirdik.”
Güvenlik iyileştirmeleri
Customer.io başlangıçta söyledi Günlük Swig “Söz konusu çalışanın tüm erişimleri kaldırıldı ve soruşturmamız sonuçlanıncaya kadar askıya alındı”.
Bu soruşturma daha sonra, Customer.io’nun daha fazla bilgi yayınlamasıyla daha fazla sızıntıyı ortaya çıkardı. Beyan 7 Temmuz’da, haydut çalışanın diğer beş müşteriyle ilişkili e-posta adreslerini “aynı harici kötü aktöre” sağladığını öğrendiğini söyleyerek.
Devam etti:
Bunun, görevlerini yerine getirmek için uygun bir erişim düzeyine sahip olan ve kötü oyuncuya bu e-posta adreslerini veren kıdemli bir mühendisin kasıtlı eylemlerinin bir sonucu olduğunu biliyoruz. Bu eylem bu tek çalışanla sınırlıydı.
Müşteri verilerimizi korumak için alınan birçok önleme rağmen, çalışanın rolü bu e-posta adreslerine özel erişim sağladı. Bu çalışanın işine son verildi, tüm erişimler iptal edildi ve bu çalışanı kolluk kuvvetlerine bildirdik.
Müşterilerimizin verilerinin korunması birinci önceliğimizdir ve bu çalışanın eylemleri hepimizi hayal kırıklığına uğratmıştır. Diğer beş müşteriyi bu bilgi konusunda uyardık ve onlardan içtenlikle özür dileriz.
Customer.io, erişim ve güvenlik politikalarının kapsamlı bir güvenlik incelemesinin zaten bir takım değişikliklerle sonuçlandığını söyledi.
Bunlar arasında izinsiz giriş tespiti ve veri hırsızlığına ilişkin daha proaktif bildirimler sağlamak için değiştirilemez günlük kaydı iyileştirmeleri, üretim sistemlerine ve veri depolarına erişimde daha fazla kısıtlama, kritik hizmetler için tüm erişim ve yetkilendirme anahtarlarının döndürülmesi ve müşteri hesabı verilerine erişimin varsayılan olarak kapatılması yer alır.
Ayrıca, müşteri hesaplarına erişim izni verildiğinde, Customer.io personeli artık müşteri verilerini dışa aktaramaz.
Firma ayrıca tüm personeli güvenlik politikaları konusunda yeniden eğittiğini söyledi.
Son olarak, Customer.io “öğrenmeyi beklemediğini” söyledi. [of] herhangi bir ek bilgi [being compromised] çünkü bu olay, çalışanın işinin bir parçası olarak bu e-posta adreslerine yasal erişimi olan tek bir çalışanın eylemlerinden kaynaklanmıştır”.
Kimlik avı uyarısı
OpenSea’den Cory Hardman, kullanıcıları “e-posta için artan bir olasılık” konusunda uyardı. e-dolandırıcılık “resmi e-posta etki alanımız ‘opensea.io’ya (‘opensea.org’ veya başka bir varyasyon gibi) görsel olarak benzeyen e-posta adreslerinden gelen herhangi bir OpenSea kimliğine bürünme girişimine karşı tetikte olunması çağrısında bulundu. ”
Dahası, Hardman, kullanıcılar tıklamadan önce her zaman gömülü köprüleri incelemeli ve OpenSea’den geldiği iddia edilen e-postalardaki ekleri asla indirmemeli veya paylaşmamalıdır. şifreler veya gizli cüzdan ifadeleri veya e-posta yoluyla istendiğinde cüzdan işlemlerini imzalayın.
Twitter’da, güvenlik araştırmacısı ‘CIA Görevlisi’ tavsiye kullanıcıların kimlik avı aracı kullanımı konusunda dikkatli olmaları E-posta EkleyiciIP kaydediciler ve kanarya belirteçleri.
“E-posta başlığını, etki alanını kontrol etmenizi ve ‘uzak içeriği indir’i devre dışı bırakmanızı şiddetle tavsiye ederim, ayrıca MFA’yı da unutmayın [multi-factor authentication]!” eklediler.
2017 yılında New York’ta kurulan OpenSea, NFT’lere ve kripto koleksiyonlarına odaklanan dünyanın ilk ve aynı zamanda en büyük pazarı olduğunu iddia ediyor.
Bu makale 30 Haziran’da Customer.io’dan gelen yorumla ve ardından 11 Temmuz’da Customer.io’dan ek bir güncellemeyle güncellendi.