7 miljoen gelekte e-mails van OpenSea volledig openbaar gemaakt: rapport

Het beveiligingslek dat OpenSea in 2022 deed wankelen, heeft een nieuwe wending genomen nu er meer dan zeven miljoen e-mailadressen openbaar beschikbaar zijn, aldus de Chief Information Security Officer van SlowMist, beter bekend als "23 pondDeze inbreuk, die voor het eerst werd gemeld in juni 2022, betrof een lek van e-mailadressen van gebruikers van OpenSea's e-mailleverancier, Customer(.)io.

De OpenSea-inbreuk: een tijdlijn van kwetsbaarheid

In juni 2022 bereikte OpenSea het hoogtepunt van zijn succes, met meer dan 120 miljoen maandelijkse bezoekers en een positie in de top 400 van beste websites wereldwijd. Gedurende deze periode werkte een medewerker van Customer(.)io, de aanbieder van e-mailautomatisering, Exploited hun toegang om e-mailadressen uit de gebruikersdatabase van OpenSea te halen en te delen met een onbevoegde derde partij. 

Het lek was in de eerste plaats gericht op de gebruikersgroep van het platform, maar bracht ook prominente figuren in de cryptovalutasector in gevaar, waaronder Binance CEO Changpeng Zhao, toonaangevende bedrijven en invloedrijke personen in de sector.

Het lek is nu volledig openbaar gemaakt

Cybersecurity-expert 23pds bevestigde op X (voorheen Twitter) dat de e-mailadressen, waaronder die van marktleiders, influencers en handelaren, nu breed toegankelijk zijn. Gezien hun zichtbaarheid zijn deze personen belangrijke doelwitten voor phishingaanvallen, die ernstige financiële en reputatieschade kunnen veroorzaken. 

Deze datarelease vergroot het risico voor personen die al getroffen zijn, waardoor ze kwetsbaar worden voor phishingaanvallen en andere kwaadaardige activiteiten. 23pds benadrukte dat deze e-mailadressen nu door kwaadwillenden gebruikt kunnen worden om overtuigende phishingaanvallen uit te voeren.

Phishing is nu al een van de grootste beveiligingsrisico's in de cryptowereld. De gecompromitteerde gegevens maken het voor oplichters gemakkelijker om misleidende e-mails te versturen die lijken op legitieme berichten van vertrouwde partijen zoals OpenSea. Deze e-mails verleiden gebruikers vaak om op kwaadaardige links te klikken, wat leidt tot gestolen inloggegevens, digitale activa of zelfs persoonlijke informatie.

Aanbevelingen voor getroffen gebruikers

De beveiligingsexpert van SlowMist adviseerde alle gebruikers van wie het e-mailadres betrokken was bij het lek om direct voorzorgsmaatregelen te nemen. Dit omvat het aanmaken van sterke, unieke wachtwoorden voor hun accounts en het gebruik van een wachtwoordbeheerder om deze veilig te bewaren. Het gebruik van tweefactorauthenticatie (2FA) wordt ook sterk aanbevolen, waarbij authenticatie-apps de voorkeur genieten boven sms-gebaseerde 2FA vanwege de verbeterde beveiliging.

Earlie, OpenSea heeft deze veiligheidsmaatregelen ook versterkt en gebruikers eraan herinnerd voorzichtig te zijn met e-mails die afkomstig lijken te zijn van onofficiële OpenSea-domeinen zoals “opensae(.)io,” “opensea(.)org” of “opensea(.)xyz.”

Een wake-up call voor cryptobeveiliging

Phishingaanvallen, die het gevolg zijn van dergelijke inbreuken, zijn een aanzienlijk probleem geworden. Alleen al in 2024 ging er meer dan $ 1 miljard aan digitale activa verloren door deze oplichting. Volgens CertiK vonden er in de eerste helft van 2024 meer dan 250 inbreuken plaats, met gevolgen voor grote platforms zoals Binance, Crypto.com en eToro.

Het lek benadrukt ook de kwetsbaarheden in diensten van derden die door cryptoplatforms worden gebruikt. In het geval van OpenSea was Customer().io, een vertrouwde partner voor e-mailautomatisering, de bron van dit lek, wat de noodzaak onderstreept van sterkere beveiligingsmaatregelen op alle niveaus van de infrastructuur van een platform, met name bij gevoelige gebruikersgegevens.

Ontdek veelbelovende projecten...

Veelbelovende projecten...

(Advertentie)

Artikel gaat verder...

Het is één van de groeiende lijst met opvallende incidenten, zoals het lek bij Ledger in 2020, waarbij de persoonlijke gegevens van meer dan 270,000 gebruikers werden blootgelegd.