OpenSea ликвидировала уязвимость персональных данных пользователей

Команда NFT-маркетплейса OpenSea устранила уязвимость, угрожавшую раскрытием данных пользователей. Проблему обнаружили специалисты компании Imperva.

Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.

This vulnerability allows for the deanonymization of users, potentially revealing a user's identity. https://t.co/nGQWceeGEc

— Imperva (@Imperva) March 9, 2023

Эксперты фирмы по кибербезопасности обнаружили, что баг позволял деанонимизировать клиентов платформы, связывая IP-адрес, данные сеанса браузера и электронную почту с конкретным NFT.

Согласно экспертам, причиной ошибки стала неправильная настройка библиотеки iFrame-resizer. Уязвимость давала возможность агрегировать данные через межсайтовый поиск.

Используя возвращаемую по запросам информацию, злоумышленник мог далее посылать потенциальной жертве фишинговые ссылки.

Напомним, в декабре 2022 года пользователи OpenSea стали жертвами атаки на несколько миллионов долларов.