OpenSea是世界上最大的不可替代令牌(NFT)市场,它透露第三方供应商的一名员工与未经授权的外部实体共享其用户电子邮件地址。“如果您过去曾与OpenSea共享您的电子邮件,您应该假设您受到了影响,”OpenSea安全负责人Cory Hardman在6月29日的一篇博文中警告用户。据OpenSea称,罪魁祸首受雇于Customer.io,这是一个营销人员用来创建和发送电子邮件、推送通知和SMS消息的自动消息传递平台。
“我们最近了解到,我们的电子邮件递送供应商Customer.io 的一名员工滥用其员工访问权限来下载和共享电子邮件地址 - 由OpenSea用户和我们的时事通讯订阅者提供 - 与未经授权的外部方,”哈德曼说。
“我们正在与Customer.io合作进行正在进行的调查,我们已将这一事件报告给执法部门。”
Customer.io发表了以下声明:
得知该事件后,我们立即采取措施进行调查、控制其影响并确定其来源,包括聘请第三方法医调查公司。我们正在与OpenSea密切合作,并正在审查这些电子邮件地址是如何被盗用的。
我们认为这是由于具有特定角色访问权限的员工的行为被滥用所致。我们认为没有任何其他客户的数据受到损害,但我们正在继续调查。有问题的员工已被删除所有访问权限,并已被暂停,等待我们的调查结束。
此外,我们一直在努力提高我们的安全性,我们已经对我们的访问和合规政策进行了全面审查,并将在必要时进行调整。
哈德曼警告用户“进行电子邮件网络钓鱼尝试的可能性增加”,并敦促他们“警惕任何从看起来类似于我们的官方电子邮件域‘opensea.io’的电子邮件地址冒充OpenSea的企图”(例如'opensea.org' 或其他一些变体)。”
此外,Hardman继续说,用户在点击之前应始终仔细检查嵌入的超链接,切勿在电子邮件提示时从声称来自OpenSea的电子邮件中下载附件,或共享密码或秘密钱包短语,或签署钱包交易。
在Twitter上,安全研究员“CIA 官员”建议用户对使用网络钓鱼工具Email Appender、IP记录器和金丝雀令牌保持警惕。
“我强烈建议检查电子邮件标题、域并禁用‘下载远程内容’,也不要忘记MFA[多因素身份验证]!” 他们补充说。
OpenSea于2017年在纽约成立,声称是世界上第一个也是最大的专注于NFT和加密收藏品的市场。
评论已关闭。