OpenSea исправляет уязвимость, которая раскрывает личность пользователей
Фирма по кибербезопасности Imperva обнаружила уязвимость, которая опасалась утечки информации о пользователях, такой как адрес электронной почты и номера телефона, которая теперь была отправлена.
Сообщается, что на рынке невзаимозаменяемых токенов (NFT) OpenSea исправила уязвимость, которая в случае использования может раскрывать идентифицирующую информацию об анонимных пользователях.
В блоге от 9 марта фирма по кибербезопасности Imperva подробно рассказала, как она обнаруживает уязвимость, которая, по ее распространению, может деанонимизировать пользователей OpenSea, «связывая IP-адрес, сеанса электронной почты или почты при определенных условиях» с NFT.
Online advertising service 1lx.online
NFT показывает адрес кошелька криптовалюты, реальная личность пользователя может быть раскрыта из собранной информации, связанной с кошельком и его активностью, раскрыта Имперва.
Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.
This vulnerability allows for the deanonymization of users, potentially revealing a user's identity. https://t.co/nGQWceeGEc
— Imperva (@Imperva) March 9, 2023
Предполагается, что эксплойт воспользовался уязвимостью межсайтового поиска. Imperva заявила, что OpenSea неправильно настроила трафик, который изменяет размеры элементов веб-страниц, которые загружают HTML-контент из других источников, которые обычно используются для размещения рекламы, использования контента или встроенных видео.
OpenSea не ограничивает связь с этой библиотекой, эксплуататоры дают возможность использовать информацию, которую она транслирует, в качестве «оракулы», чтобы сузить круг поиска, поиск не дал результата, потому что веб-страница будет меньше.
Online advertising service 1lx.online
Imperva уточнила, что достигает своей цели по электронной почте или SMS, которая при встрече «открывает ценную информацию, такую как IP-адрес цели, наблюдательный агент, сведения об исследовании и версию программного обеспечения».
Скриншот главной страницы OpenSea. Источник: OpenSea
Это позволяет использовать уязвимость OpenSea, чтобы получить имя NFT и связать подходящий адрес кошелька с идентифицирующей информацией, такой как электронная почта или номер телефона, которые были отправлены по исходной ссылке.
Imperva заявила, что OpenSea «быстро устранила проблему» и должнам ограничила связь библиотек, а также сообщила, что платформа «более не подвергается риску таких атак».
Online advertising service 1lx.online
Пользователи платформы долгое время становились жертвами атак, которые имитируют функции OpenSea для использования эксплойтов, таких как фишинговые веб-сайты, которые предполагают приложения, или запросы на подписку, как предполагается, исходят от OpenSea.
Сама OpenSea подверглась критике за безопасность своей платформы из-за крупной фишинговой атаки в 2022 году, в результате чего у пользователей были украдены NFT на сумму более 1,7 миллиона долларов.
Что касается недавнего обновления, неизвестно, как долго он встречается и затронул ли он кого-либо из пользователей.
OpenSea не сразу ответила на запрос Cointelegraph о уязвимости.
