OpenSea 报告数据泄露，警告客户可能存在网络钓鱼企图

OpenSea——最受欢迎的以 NFT 为中心的平台之一——报告了一起数据泄露事件，影响了订阅该公司邮件列表的客户的个人身份信息 (PII)。

错误的外部安全性松懈

该公司解释说，漏洞不是由 OpenSea 本身造成的。相反，这是因为 Customer.io 的一名员工，OpenSea 雇佣了一个第三方平台来管理社交媒体通信。

这并不是客户关系管理 (CRM) 平台第一次被证明是加密和 NFT 平台的一个破绽。就在 3 月份，一个类似的 CRM – Hubspot – 对影响 Circle、Swan Bitcoin、BlockFi 和 NYDIG 的几乎相同的数据泄露负责。

预计网络钓鱼尝试会增加

OpenSea 在几小时前发布的一篇博文中正式宣布了违规行为。该公司在声明中警告用户，被盗数据量疑似较大，建议用户提高警惕。

在 Twitter 上，OpenSea 客户已经报告了针对他们的可疑电子邮件、电话和消息，据信这些是由于 Customer.io 员工窃取信息所致。

由于 OpenSea 和客户 io Lord Jeebus 帮助我，我的信息被泄露。我想知道为什么我最近收到这么多垃圾短信、电话和电子邮件。

– Metzilmazatl (Moon Deer) (@TheAscendant3) 2022 年 6 月 30 日

OpenSea 的发言人还证实，该团队已经就违规行为联系了相关法律当局。与最近对区块链相关平台的利用不同，这种攻击以客户数据为中心——与代币不同，这些数据受到世界各国政府的严格保护。

“如果您过去曾与 OpenSea 共享您的电子邮件，您应该假设您受到了影响。我们正在与 Customer.io 合作进行正在进行的调查，我们已将此事件报告给执法部门。请对您的电子邮件行为保持警惕，并警惕任何通过电子邮件冒充 OpenSea 的企图。”

OpenSea 已经开始向确认受到影响的地址发送电子邮件，简要说明违规行为是如何发生的，并警告用户提高警惕。

OpenSea 数据泄露。 pic.twitter.com/FEtDKsoHje

– eric.eth (@econoar) 2022 年 6 月 30 日

电子邮件中还提到了几个反网络钓鱼的最佳做法——同时提醒 opensea.io 是公司拥有的唯一合法网站域。还包括避免下载附件的警告，重申来自 OpenSea 的电子邮件通常没有附件。

还提到了超链接——尽管 OpenSea 电子邮件可能包含一些超链接，但任何提示用户签署钱包交易的链接都应该被认为是欺诈性的。

最后，OpenSea 承诺尽可能向用户通报情况，并要求将任何网络钓鱼企图报告给他们的支持团队。