OpenSea opravuje zranitelnost, která potenciálně odhaluje identitu uživatelů

Podle zpráv OpenSea opravila chybu, která, pokud by byla zneužita, mohla odhalit osobní informace o jejích anonymních uživatelích.

Podle společnosti Imperva zabývající se kybernetickou bezpečností by tato zranitelnost mohla deanonymizovat uživatele OpenSea „přidružením IP adresy, relace prohlížeče nebo e-mailu ve specifických scénářích,“ vysvětlila společnost v příspěvku na blogu z 9.

Informace získané a připojené k peněžence a jejímu chování by mohly identifikovat skutečnou identitu uživatele, protože NFT odpovídá adrese kryptoměnové peněženky, tvrdí Imperva.

Předpokládá se, že byla zneužita zranitelnost vyhledávání mezi weby. Imperva tvrdil, že OpenSea nesprávně nakonfigurovala knihovnu, která mění velikost prvků webových stránek, které načítají HTML materiál z vnějších zdrojů a jsou často používány k zobrazování reklam, interaktivního obsahu nebo vložených filmů.

Vykořisťovatelé mohou použít informace, které vysílá, jako „věštec“, aby zaměřili své úsilí, když vyhledávání neposkytlo žádné výsledky, protože webová stránka by byla menší, protože OpenSea neukládala žádná omezení na komunikaci této knihovny. Podle Impervy by útočník mohl poslat odkaz na cíl prostřednictvím e-mailu nebo SMS, který by po kliknutí poskytl „důležité informace, včetně cílové IP adresy, uživatelského agenta, dat zařízení a verzí softwaru“.

Po extrahování názvů NFT jejich cíle pomocí zranitelnosti OpenSea by útočník propojil příslušnou adresu peněženky s identifikovatelnými údaji, jako je e-mail nebo telefonní číslo, které bylo použito k odeslání původního odkazu. Imperva uvedla, že platforma „již nebyla vystavena riziku takových útoků“ poté, co OpenSea „okamžitě napravila zranitelnost“ a náležitě omezila interakce knihovny.

Uživatelé platformy jsou často terčem útoků, které napodobují funkce OpenSea, aby provedli zranitelnosti, jako jsou phishingové weby, které vypadají jako platforma, nebo požadavky na podpis, které vypadají, že pocházejí z OpenSea.

Kvůli významnému pokusu o phishing, ke kterému došlo v únoru 2022 a který vedl ke krádeži NFT v hodnotě více než 1,7 milionu dolarů od uživatelů, se OpenSea dostala pod palbu kvůli bezpečnosti své platformy. Není jasné, jak dlouho je nejnovější oprava na místě nebo zda se tato chyba zabezpečení dotkla některých uživatelů.

Příspěvek OpenSea opravuje zranitelnost, která potenciálně odhaluje identitu uživatelů appeared first on BitcoinWorld.