Filtración de datos en OpenSea expone Correos.

[seoincorporation]

Estaba navegando por el foro mientras tomaba mi café mañanero cuando me encontré la publicación de un usuario ofreciendo campañas de correo para 6 millones de usuarios de OpenSea. Y me pregunté... ¿Realmente fueron vulnerados los de OpenSea? Investigando un poco me encontré con esto:

An employee of our email vendor, http://Customer.io, misused their employee access to download & share email addresses with an unauthorized external party.

Email addresses provided to OpenSea by users or newsletter subscribers were impacted.

https://twitter.com/opensea/status/1542338816551243776

Así que efectivamente, todos los correos de OpenSea de registro y noticias fueron vulnerados. Dejaré un par de fuentes:

https://es.cointelegraph.com/news/opensea-data-breach-causes-massive-leak-of-users-email-addresses
https://mashable.com/article/opensea-data-breach

[1715576262]

1715576262

[1715576262]

1715576262

[1715576262]

1715576262

[1715576262]

1715576262

[DdmrDdmr]

Creo haberlo leído en su momento, pero veo que no lo habíamos comentado en nuestro foro local. La verdad es que vaya mesecitos de hackeos y filtraciones de los correos (y algunos datos personales o de contacto adicionales) que llevamos, siendo en muchos casos originados por el acceso a cuentas de empleados de proveedores de servicios de correos y SMS.

Es evidente que ha habido una campaña orquestada para hacerse con cuentas de empleados que den acceso a este tipo de plataformas de comunicación, y con un fuerte componente cripto en el plano motivacional. A su vez, para mí denota una clara falta de seguridad de este tipo de plataformas para con sus empleados, que cuanto menos debería obligarles a usar 2FA al usar estos "superpoderes" de acceso a cuentas de clientes corporativos, además de probablemente hacer saltar alertas en tiempo real si realizan exportaciones de datos pasados cierto umbral (y ya puestos, los empleados deberían acceder con VPN y desde IPs controladas por el firewall).

[Hispo]

Otra vulneración más.
Incluso aunque el mercado de los NFT y el PLay-to-Earn se encuentre actualmente en una bajada (no sabemos si permanente), no hay duda de que existirán personas que efectivamente podrían perder miles de dólares en una campaña de phishing (ya sabemos como de sofisticadas se han vuelto estas).

¿Creen que estemos a las puertas de un robo de billeteras de ETH con todos los NFT que tengan?

Lo curioso del robo de los NFT es que su carácter no fungible los hacen no tan apetecibles para los criminales, pero hay antecedentes así que es una posibilidad que también les echen mano y no solo a los tokens y al ETH de las wallets para pagar el gas.

[Porfirii]

Al leer el título de la noticia pensaba que se habían filtrado datos de Correos, y no datos de correos...

En parte me alegro por que no se hayan filtrado datos del proveedor estatal de servicios postales, pero por otro lado, como decís, otro que va y suma y sigue. Nada, sigan exigiendo "mandatory KYC" para todo, y si viene acompañado de custodia de carteras, mejor.