OpenSea, una de las plataformas de comercio de tokens no fungibles (NFT) más grandes del mundo, admitió este jueves (29) que había sufrido una fuga de datos de sus usuarios. En un comunicado, la compañía insta a los clientes afectados a tener cuidado con los intentos de estafa por correo electrónico.
Según la empresa, el incidente de seguridad fue provocado por un empleado de Customer.io, la empresa responsable del servicio de correo electrónico de la firma. El profesional en cuestión habría hecho un mal uso del acceso privilegiado al sistema para descargar y compartir las direcciones de correo electrónico facilitadas por los usuarios y suscriptores de la newsletter de OpenSea.
No hay información exacta sobre el tamaño de la violación de datos, pero en principio cualquier persona que haya registrado su dirección de correo electrónico en la plataforma podría haberse visto afectada. "Si ha compartido su correo electrónico con OpenSea en el pasado, debe asumir que se ha visto afectado", advirtió la startup.
La compañía dijo que está trabajando con Customer.io en su propia investigación interna para investigar la filtración, y que el acceso del empleado involucrado ha sido eliminado y suspendido hasta que se complete. Las autoridades ya conocen el caso, al igual que los clientes afectados; se les informa por correo electrónico.
Riesgo de phishing
En la alerta lanzada, la startup pide a los usuarios que estén atentos a posibles intentos de fraude, con ciberdelincuentes intentando hacerse pasar por ella contactando a los clientes a través de un correo electrónico similar al dominio oficial. Algunos ejemplos de direcciones falsas son “opensea.org” y “opensea.xyz”, mientras que “opensea.io” es la verdadera.
Al recibir correos electrónicos de phishing haciéndose pasar por la empresa, el usuario debe evitar abrir archivos adjuntos y no hacer clic en enlaces sospechosos, además de no compartir contraseñas o frases de contraseña de billetera y nunca firmar una transacción de billetera solicitada por mensaje. La empresa afirma que los correos electrónicos oficiales no incluyen archivos adjuntos ni solicitudes para descargar archivos.
Según OpenSea, posiblemente solo se filtraron las direcciones de correo electrónico registradas por los usuarios. "No creemos que ningún otro dato de cliente se haya visto comprometido, pero continuamos investigando", dijo la plataforma.
