OpenSea a annoncé, fin de semaine dernière, une fuite majeure d’adresses e-mails de ses utilisateurs. Lesdites données ont été envoyées à un acteur tiers non autorisé.
Dans un billet blog publié le 29 juin dernier, la plateforme leader d’achat et de vente de NFT Opensea a révélé avoir été victime d’une fuite d’adresses e-mails de ses utilisateurs. « Nous avons récemment appris qu'un employé de Customer.io, notre fournisseur de livraison d'e-mails, avait abusé de l'accès de ses employés pour télécharger et partager des adresses e-mail - fournies par les utilisateurs d'OpenSea et les abonnés à notre newsletter - avec une partie externe non autorisée. », écrit l’entreprise. OpenSea explique avoir signalé l’infraction aux forces de l’ordre.
Comment se protéger ?
Cette fuite expose potentiellement tous les utilisateurs d’OpenSea ayant transmis leur adresse e-mail à des tentatives de phishing en utilisant le nom de domaine de la messagerie officielle « opensea.io » via « opensea.org » et autre variante.
« Méfiez-vous des e-mails de phishing provenant d'adresses essayant d'usurper l'identité d'OpenSea. OpenSea vous enverra uniquement des e-mails à partir du domaine : "opensea.io". », prévient la plateforme. Elle invite à ne pas s’engager avec toute autre adresse employant un autre nom de domaine. « Ne téléchargez jamais rien à partir d'un e-mail OpenSea. Les e-mails authentiques d'OpenSea n'incluent pas de pièces jointes ni de demandes de téléchargement. », rappelle la plateforme. Elle ajoute : « Nous n'inclurons que des hyperliens vers les URL "email.opensea.io.". Assurez-vous que "opensea.io" est correctement orthographié, car il est courant que des acteurs malveillants usurpent l'identité d'URL en mélangeant les lettres. » Bien sûr, OpenSea invite à ne jamais partager ou confirmer ses mots de passe et phrases secrètes de portefeuille ou signer une transaction demandée par e-mail.
Des recommandations qui ne sont pas à prendre à la légère. En février dernier, la plateforme avait déjà fait l’objet d’une campagne de phishing. 500 ETH en NFTs avaient été dérobés.