Hơn bảy triệu địa chỉ email đã bị lộ do rò rỉ nguồn cung cấp email của OpenSea vào năm 2022 mới đây đã bị “công bố hoàn toàn” trên mạng, tạo điều kiện cho những kẻ lừa đảo khai thác, theo cảnh báo từ một giám đốc của SlowMist.
“Bạn còn nhớ vụ tấn công vào nhà cung cấp dịch vụ email của OpenSea vào năm 2022 dẫn đến việc rò rỉ email không? Những địa chỉ email bị rò rỉ giờ đây đã được công bố rộng rãi sau nhiều lần chia sẻ,” viết bởi giám đốc bảo mật thông tin của SlowMist, “23pds”, trong một bài đăng ngày 13 tháng 1 trên X.
Khi nói chuyện với TinTucBitcoin, 23pds giải thích rằng mặc dù cuộc tấn công xảy ra vào tháng 6 năm 2022, dữ liệu chưa được công khai cho đến gần đây, nghĩa là “tất cả các nhóm tấn công có thể sử dụng thông tin này để lừa đảo phishing và scam.”
“Trước đây, dữ liệu chưa được công khai. Bây giờ tất cả dữ liệu bị rò rỉ đã được công khai hoàn toàn và có sẵn cho bất kỳ ai muốn có nó.”
23pds đã chia sẻ một bức ảnh chụp màn hình với TinTucBitcoin cho thấy một tin nhắn trên Telegram với một tệp đính kèm tên là “opensea.io_mail_list.rar,” được cho là chứa 7 triệu mục.
Ảnh màn hình một bài đăng trên Telegram ngày 26 tháng 12 chứa danh sách địa chỉ email bị rò rỉ như một tệp đính kèm. Nguồn: 23pds/SlowMist
“Số lượng dữ liệu bị rò rỉ đạt đến 7 triệu, bao gồm một số lượng lớn thông tin email của các chuyên gia tiền điện tử nước ngoài, bao gồm nhiều cá nhân nổi tiếng, công ty và các lãnh đạo ý kiến chính (KOLs) trong ngành,” 23pds cho biết trên X, ban đầu được viết bằng tiếng Trung Quốc.
Nguồn: 23pds
Cảnh báo và hành động của OpenSea
OpenSea, một trong những thị trường Token không thể thay thế (NFT) lớn nhất thế giới, đã cảnh báo khách hàng về vụ rò rỉ dữ liệu vào ngày 29 tháng 6 năm 2022, sau khi phát hiện một nhân viên của Customer.io — nền tảng tự động hóa email của họ — đã rò rỉ danh sách email khách hàng của OpenSea cho bên ngoài.
“Nếu bạn đã chia sẻ email của mình với OpenSea trong quá khứ, bạn nên xác định rằng mình đã bị ảnh hưởng. Chúng tôi đang làm việc với Customer.io trong cuộc điều tra của họ, và chúng tôi đã báo cáo sự cố này cho cơ quan thực thi pháp luật,” họ đã nói vào thời điểm đó.
Phòng ngừa lừa đảo phishing
23pds khuyên những người cho rằng email của họ bị rò rỉ nên tạo mật khẩu mạnh và độc đáo cùng với việc sử dụng trình quản lý mật khẩu để lưu trữ chúng một cách an toàn.
Họ khuyên sử dụng xác thực hai yếu tố (2FA) bất cứ khi nào có thể, đề xuất sử dụng ứng dụng xác thực thay vì 2FA dựa trên SMS, và giữ cho phần mềm thiết bị được cập nhật.
Lừa đảo phishing đã là một trong những mối đe dọa bảo mật lớn nhất của năm 2024, với những kẻ tấn công đã chiếm đoạt hơn 1 tỷ USD tài sản điện tử bị đánh cắp từ 296 sự cố trong năm, theo CertiK.
“Phishing là phương thức tấn công tốn kém nhất trong năm ngoái,” một phát ngôn viên của CertiK đã nói với TinTucBitcoin. “Con số của chúng tôi là bảo thủ, con số thực tế cao hơn khi bạn tính đến các sự cố không được báo cáo và các loại lừa đảo phishing khác như mô hình lừa đảo ‘pig butchering’.”
