OpenSea, le plus grand marché mondial de jetons non fongibles (NFT), a révélé qu’un employé malhonnête d’un fournisseur tiers a partagé les adresses e-mail de ses utilisateurs avec une entité externe non autorisée.
« Si vous avez partagé votre e-mail avec OpenSea dans le passé, vous devez supposer que vous avez été impacté », ont averti les utilisateurs par le responsable de la sécurité d’OpenSea, Cory Hardman, dans un communiqué. article de blog le 29 juin.
Le coupable présumé était employé par Customer.io, une plate-forme de messagerie automatisée utilisée par les spécialistes du marketing pour créer et envoyer des e-mails, des notifications push et des SMS.
« Nous avons récemment appris qu’un employé de Customer.io, notre fournisseur de livraison de courrier électronique, avait abusé de l’accès de ses employés pour télécharger et partager des adresses électroniques – fournies par les utilisateurs d’OpenSea et les abonnés à notre newsletter – avec une partie externe non autorisée », a déclaré Hardman.
« Nous travaillons avec Customer.io dans leur enquête en cours, et nous avons signalé cet incident aux forces de l’ordre. »
Améliorations de la sécurité
Customer.io a initialement déclaré que « l’employé en question s’est vu retirer tous les accès et a été suspendu en attendant la conclusion de notre enquête ».
Cette enquête a ensuite mis au jour d’autres fuites, Customer.io publiant un autre déclaration le 7 juillet, affirmant avoir appris que l’employé voyou avait fourni des adresses e-mail associées à cinq autres clients « au même mauvais acteur externe ».
Il a continué:
Nous savons que cela était le résultat des actions délibérées d’un ingénieur senior qui disposait d’un niveau d’accès approprié pour effectuer ses tâches et qui a fourni ces adresses e-mail au mauvais acteur. Cette action était limitée à ce seul employé.
Malgré les nombreuses précautions prises pour protéger les données de nos clients, le rôle de l’employé a permis un accès spécifique à ces adresses e-mail. Cet employé a été licencié, tous les accès ont été révoqués et nous avons signalé cet employé aux forces de l’ordre.
La protection des données de nos clients est notre première priorité et les actions de cet employé nous ont tous déçus. Nous avons alerté les cinq autres clients de cette information et nous nous excusons sincèrement auprès d’eux.
Customer.io a déclaré qu’un examen complet de la sécurité des politiques d’accès et de sécurité avait déjà entraîné un certain nombre de changements.
Celles-ci incluent la détection des intrusions et des améliorations de journalisation immuables pour fournir des notifications plus proactives d’exfiltration de données, des restrictions supplémentaires sur l’accès aux systèmes de production et aux magasins de données, la rotation de toutes les clés d’accès et d’autorisation pour les services critiques et la désactivation par défaut de l’accès aux données des comptes clients.
De plus, lorsqu’il est autorisé à accéder aux comptes clients, le personnel de Customer.io ne peut plus exporter les données des clients.
L’entreprise a déclaré qu’elle recyclait également tout le personnel sur les politiques de sécurité.
Enfin, Customer.io a déclaré qu’il « ne s’attendait pas à apprendre [of] toute information supplémentaire [being compromised] puisque cet incident résultait des actions d’un seul employé, qui avait légitimement accès à ces adresses e-mail dans le cadre de son travail ».
Avertissement d’hameçonnage
Cory Hardman d’OpenSea a mis en garde les utilisateurs contre « une probabilité accrue de tentatives de phishing par e-mail », et les a exhortés à « être attentifs à toute tentative d’usurpation de l’identité d’OpenSea » à partir d’adresses e-mail qui ressemblent « visuellement à notre domaine de messagerie officiel, ‘opensea.io’ (comme ‘opensea.org’ ou une autre variante).
De plus, a poursuivi Hardman, les utilisateurs doivent toujours examiner attentivement les hyperliens intégrés avant de cliquer, et ne jamais télécharger de pièces jointes à partir d’e-mails prétendant provenir d’OpenSea, ou partager des mots de passe ou des phrases secrètes de portefeuille, ou signer des transactions de portefeuille, lorsqu’ils y sont invités par e-mail.
Sur Twitter, chercheur en sécurité « officier de la CIA » informé les utilisateurs doivent être vigilants quant à l’utilisation de l’outil de phishing Appendice d’e-mailIP-loggers et canary tokens.
« Je recommande fortement de vérifier l’en-tête de l’e-mail, le domaine et de désactiver le » téléchargement de contenu distant « , n’oubliez pas non plus le MFA [multi-factor authentication]! » ils ont ajouté.
Fondée à New York en 2017, OpenSea prétend être la première et la plus grande place de marché au monde axée sur les NFT et les objets de collection crypto.