BTC 75206.3$
ETH 2830.43$
Tether (USDT) 1$
Toncoin (TON) 4.89$
telegram vk Х
telegram vk Х
Russian English
"

OpenSea исправляет уязвимость, которая раскрывала учетные данные пользователей

Дата публикации:13.03.2023, 08:30
1231
1231
Поделись с друзьями!

Сообщается, что торговая площадка OpenSea  исправила уязвимость, которая в случае использования может раскрыть информацию о своих пользователях.

В блоге от 9 марта фирма по кибербезопасности Imperva подробно описала, как она обнаружила уязвимость, которая, по ее утверждению, может деанонимизировать пользователей OpenSea “путем привязки IP-адреса, сеанса браузера или электронной почты в определенных условиях” к NFT.

Поскольку NFT соответствует адресу кошелька криптовалюты, реальная личность пользователя может быть раскрыта на основе собранной информации, связанной с кошельком и его активностью, пояснил Imperva.

Предполагается, что эксплойт воспользовался уязвимостью межсайтового поиска. Imperva заявила, что OpenSea неправильно настроила библиотеку, которая изменяет размеры элементов веб-страницы, загружающих HTML-контент из других источников, которые обычно используются для размещения рекламы, интерактивного контента или встроенных видеороликов.

Поскольку OpenSea не ограничивала связь с этой библиотекой, злоумышленники могли использовать информацию, которую она передает, как “оракул”, чтобы сузить область поиска, когда поисковые запросы не дают результатов, поскольку веб-страница будет меньше.

Imperva уточнила, что злоумышленник отправит своей цели ссылку по электронной почте или SMS, при нажатии на которую “раскрывается ценная информация, такая как IP-адрес цели, пользовательский агент, сведения об устройстве и версии программного обеспечения”.

Скриншот главной страницы OpenSea. Источник: OpenSea

Затем злоумышленник использует уязвимость OpenSea для извлечения NFT-имен своей цели и связывает соответствующий адрес кошелька с идентификационной информацией, такой как адрес электронной почты или номер телефона, на который была отправлена исходная ссылка.

Imperva заявила, что OpenSea “быстро решила проблему” и должным образом ограничила связь библиотеки и сообщила, что платформа “больше не подвергается риску подобных атак”.

Пользователи платформы уже давно становятся жертвами атак, имитирующих функции OpenSea для использования эксплойтов, таких как фишинговые веб-сайты, похожие на платформу, или запросы подписи, которые, как представляется, исходят от OpenSea.

Сама OpenSea подверглась критике за безопасность своей платформы из-за крупной фишинг-атаки в феврале 2022 года, в результате которой у пользователей были украдены NFT на сумму более 1,7 миллиона долларов.

Что касается последнего исправления, неизвестно, как долго оно существовало и пострадали ли какие-либо пользователи от эксплойта.

Подписывайся на наш Telegram канал. Не трать время на мониторинг новостей. Только срочные и важные новости

https://t.me/block_chain24