Le e-mail degli utenti di OpenSea trafugate nel 2022 sono ora completamente pubbliche: SlowMist

Recentemente, oltre sette milioni di indirizzi e-mail compromessi nel leak di OpenSea del 2022 sono stati “completamente divulgati” online, offrendo ai truffatori un nuovo tesoro di informazioni con cui lavorare, avverte un dirigente di SlowMist.

“Ricordate l'attacco al mail service provider di OpenSea nel [2022] che ha portato alla fuga di email? Gli indirizzi e-mail trapelati sono stati completamente resi pubblici dopo molteplici diffusioni”, ha scritto il responsabile della sicurezza informatica di SlowMist, ‘23pds’, in un post del 13 gennaio su X.

Parlando con Cointelegraph, 23pds ha spiegato che, sebbene l'attacco sia avvenuto nel giugno 2022, i dati non sono stati resi pubblici fino a poco tempo fa, il che significa che “tutti i gruppi di aggressori possono usare queste informazioni per fare phishing e truffe”.

“In precedenza non erano stati resi pubblici. Ora tutti i dati trapelati sono stati resi pubblici nella loro interezza e sono a disposizione di chiunque li voglia”.

23pds ha condiviso con Cointelegraph uno screenshot che mostra un messaggio Telegram con un allegato chiamato “opensea.io_mail_list.rar”, che presumibilmente contiene 7 milioni di voci.

*Screenshot di un post di Telegram del 26 dicembre contenente gli indirizzi e-mail trapelati come allegato. Fonte: 23pds/SlowMist*

“La quantità di dati trapelati ha raggiunto i 7 milioni, compreso un gran numero di informazioni e-mail di operatori crypto oltreoceano, tra cui molti personaggi noti, aziende e key opinion leader (KOL) del settore”, ha dichiarato 23pds su X, in un post originariamente scritto in cinese.

OpenSea, uno dei più grandi marketplace di token non fungibili (NFT) al mondo, ha avvertito per la prima volta i clienti della fuga di dati il 29 giugno 2022, dopo aver scoperto che un dipendente di Customer.io — la sua piattaforma di automazione delle e-mail — ha fatto trapelare l'elenco delle e-mail dei clienti di OpenSea ad una parte esterna.

“Se in passato avete condiviso le vostre e-mail con OpenSea, dovete presumere di essere stati colpiti. Stiamo collaborando con Customer.io nelle indagini in corso e abbiamo segnalato l'accaduto alle forze dell'ordine”, si leggeva all'epoca.

Prevenire le truffe di phishing

23pds ha consigliato a coloro che ritengono che la propria e-mail sia trapelata di creare password forti e uniche e di utilizzare un password manager per conservarle in modo sicuro.

Hanno consigliato l'uso dell'autenticazione a due fattori (2FA) ogni volta che è possibile, raccomandando un'app authenticator rispetto alla 2FA basata su SMS, e hanno aggiunto di mantenere aggiornato il software dei dispositivi.

Secondo CertiK, le truffe di phishing sono state una delle minacce alla sicurezza più significative del 2024: nel corso dell'anno gli aggressori sono riusciti a sottrarre oltre 1 miliardo di dollari in asset digitali da 296 incidenti.

“Il phishing è stato il vettore di attacco più redditizio dello scorso anno”, ha dichiarato in precedenza un portavoce di CertiK a Cointelegraph. “I nostri dati sono conservativi, la cifra reale è più alta se si considerano gli incidenti non segnalati e altri tipi di truffe di phishing come il pig butchering”.