Фирма по кибербезопасности Imperva обнаружила уязвимость, которая опасалась утечки информации о пользователях, такой как адрес электронной почты и номера телефона, которая теперь была отправлена.
Сообщается, что на рынке невзаимозаменяемых токенов (NFT) OpenSea исправила уязвимость, которая в случае использования может раскрывать идентифицирующую информацию об анонимных пользователях.
В блоге от 9 марта фирма по кибербезопасности Imperva подробно рассказала, как она обнаруживает уязвимость, которая, по ее распространению, может деанонимизировать пользователей OpenSea, «связывая IP-адрес, сеанса электронной почты или почты при определенных условиях» с NFT.
NFT показывает адрес кошелька криптовалюты, реальная личность пользователя может быть раскрыта из собранной информации, связанной с кошельком и его активностью, раскрыта Имперва.
Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.
This vulnerability allows for the deanonymization of users, potentially revealing a user’s identity. https://t.co/nGQWceeGEc
— Imperva (@Imperva) March 9, 2023
Предполагается, что эксплойт воспользовался уязвимостью межсайтового поиска. Imperva заявила, что OpenSea неправильно настроила трафик, который изменяет размеры элементов веб-страниц, которые загружают HTML-контент из других источников, которые обычно используются для размещения рекламы, использования контента или встроенных видео.
OpenSea не ограничивает связь с этой библиотекой, эксплуататоры дают возможность использовать информацию, которую она транслирует, в качестве «оракулы», чтобы сузить круг поиска, поиск не дал результата, потому что веб-страница будет меньше.
Imperva уточнила, что достигает своей цели по электронной почте или SMS, которая при встрече «открывает ценную информацию, такую как IP-адрес цели, наблюдательный агент, сведения об исследовании и версию программного обеспечения».
Скриншот главной страницы OpenSea. Источник: OpenSea
Это позволяет использовать уязвимость OpenSea, чтобы получить имя NFT и связать подходящий адрес кошелька с идентифицирующей информацией, такой как электронная почта или номер телефона, которые были отправлены по исходной ссылке.
Imperva заявила, что OpenSea «быстро устранила проблему» и должнам ограничила связь библиотек, а также сообщила, что платформа «более не подвергается риску таких атак».
Пользователи платформы долгое время становились жертвами атак, которые имитируют функции OpenSea для использования эксплойтов, таких как фишинговые веб-сайты, которые предполагают приложения, или запросы на подписку, как предполагается, исходят от OpenSea.
Сама OpenSea подверглась критике за безопасность своей платформы из-за крупной фишинговой атаки в 2022 году, в результате чего у пользователей были украдены NFT на сумму более 1,7 миллиона долларов.
Что касается недавнего обновления, неизвестно, как долго он встречается и затронул ли он кого-либо из пользователей.
OpenSea не сразу ответила на запрос Cointelegraph о уязвимости.
The post OpenSea исправляет уязвимость, которая раскрывает личность пользователей first appeared on Новости Криптовалют. Новости Сегодня Криптовалюта, Биткоин, Блокчейн, Майнинг, Биржи, Трейдинг, NFT, DeFi, Курс криптовалют..
