انتشار کامل ۷ میلیون ایمیل فاش شده از OpenSea: گزارش

به گفته مدیر ارشد امنیت اطلاعات SlowMist، معروف به "نقض امنیتی که در سال ۲۰۲۲ OpenSea را لرزاند، اکنون با انتشار بیش از هفت میلیون آدرس ایمیل به صورت عمومی، وارد مرحله جدیدی شده است."۲۳ عدداین نقض امنیتی که ابتدا در ژوئن ۲۰۲۲ گزارش شد، شامل نشت آدرس‌های ایمیل کاربران از فروشنده ایمیل OpenSea، Customer(.)io، بود.

نقض OpenSea: جدول زمانی آسیب‌پذیری

در ژوئن ۲۰۲۲، OpenSea با بیش از ۱۲۰ میلیون بازدیدکننده ماهانه و رتبه‌بندی در میان ۴۰۰ وب‌سایت برتر جهانی، در اوج موفقیت خود بود. در این مدت، یکی از کارمندان Customer(.)io، ارائه‌دهنده اتوماسیون ایمیل، سوء استفاده قرار گیرد دسترسی آنها برای استخراج و به اشتراک گذاری آدرس‌های ایمیل از پایگاه داده کاربران OpenSea با یک شخص ثالث غیرمجاز. 

این افشاگری در درجه اول پایگاه کاربران این پلتفرم را هدف قرار داد، اما چهره‌های برجسته حوزه ارزهای دیجیتال، از جمله چانگ‌پنگ ژائو، مدیرعامل بایننس، شرکت‌های پیشرو و افراد تأثیرگذار در این صنعت را نیز به خطر انداخت.

این نشت اکنون کاملاً علنی شده است

متخصص امنیت سایبری 23pds در X (که قبلاً توییتر بود) تأیید کرد که آدرس‌های ایمیل، از جمله آدرس‌های رهبران صنعت، افراد تأثیرگذار و معامله‌گران، اکنون به طور گسترده در دسترس هستند. با توجه به در معرض دید بودن آنها، این افراد اهداف اصلی حملات فیشینگ هستند که می‌تواند خسارات مالی و اعتباری شدیدی ایجاد کند. 

این انتشار داده‌ها، خطر را برای افرادی که از قبل تحت تأثیر قرار گرفته‌اند، افزایش می‌دهد و آنها را در برابر کلاهبرداری‌های فیشینگ و سایر فعالیت‌های مخرب آسیب‌پذیر می‌کند. 23pds تأکید کرد که این آدرس‌های ایمیل اکنون می‌توانند توسط افراد بدخواه برای ایجاد حملات فیشینگ قانع‌کننده استفاده شوند.

کلاهبرداری‌های فیشینگ در حال حاضر یکی از مهم‌ترین تهدیدات امنیتی در فضای ارزهای دیجیتال هستند. داده‌های لو رفته، ارسال ایمیل‌های فریبنده شبیه به ارتباطات مشروع از سوی نهادهای معتبری مانند OpenSea را برای کلاهبرداران آسان‌تر می‌کند. این ایمیل‌ها اغلب کاربران را به کلیک روی لینک‌های مخرب ترغیب می‌کنند که منجر به سرقت اعتبارنامه‌های ورود به سیستم، دارایی‌های دیجیتال یا حتی اطلاعات شخصی می‌شود.

توصیه‌هایی برای کاربران آسیب‌دیده

کارشناس امنیتی SlowMist به همه کاربرانی که آدرس ایمیل آنها بخشی از این نقض امنیتی بوده است، توصیه کرد که اقدامات احتیاطی فوری را انجام دهند. این اقدامات شامل ایجاد رمزهای عبور قوی و منحصر به فرد برای حساب‌های کاربری و استفاده از یک برنامه مدیریت رمز عبور برای ذخیره ایمن آنها می‌شود. استفاده از احراز هویت دو مرحله‌ای (2FA) نیز اکیداً توصیه می‌شود و به دلیل امنیت بیشتر، برنامه‌های احراز هویت بر 2FA مبتنی بر پیامک ارجحیت دارند.

پیش از این، OpenSea این اقدامات امنیتی را تقویت کرده و به کاربران یادآوری کرده بود که نسبت به ایمیل‌هایی که به نظر می‌رسد از دامنه‌های غیررسمی OpenSea مانند "opensae(.)io"، "opensea(.)org" یا "opensea(.)xyz" ارسال می‌شوند، محتاط باشند.

زنگ خطری برای امنیت ارزهای دیجیتال

حملات فیشینگ که از چنین نقض‌هایی ناشی می‌شوند، به یک مشکل مهم تبدیل شده‌اند و تنها در سال ۲۰۲۴ بیش از ۱ میلیارد دلار دارایی دیجیتال در این کلاهبرداری‌ها از دست رفته است. طبق گزارش CertiK، بیش از ۲۵۰ نقض امنیتی در نیمه اول سال ۲۰۲۴ رخ داده است که پلتفرم‌های بزرگی مانند Binance، Crypto.com و eToro را تحت تأثیر قرار داده است.

این نقض امنیتی همچنین آسیب‌پذیری‌های موجود در سرویس‌های شخص ثالث مورد استفاده پلتفرم‌های رمزنگاری را برجسته می‌کند. در مورد OpenSea، Customer().io، یک شریک قابل اعتماد برای اتوماسیون ایمیل، منبع این نشت اطلاعاتی بود و این امر بر نیاز به اقدامات امنیتی قوی‌تر در تمام سطوح زیرساخت یک پلتفرم، به ویژه با داده‌های حساس کاربر، تأکید می‌کند.

پروژه‌های امیدبخش را کشف کنید...

پروژه‌های نویدبخش ...

(تبلیغات)

ادامه مقاله...

این مورد به فهرست رو به رشدی از حوادث برجسته، مانند نقض امنیتی لجر در سال ۲۰۲۰ که اطلاعات شخصی بیش از ۲۷۰،۰۰۰ کاربر را فاش کرد، اضافه می‌شود.