OpenSea исправляет уязвимость, которая раскрывает личность пользователей

Фирма по кибербезопасности Imperva обнаружила уязвимость, которая опасалась утечки информации о пользователях, такой как адрес электронной почты и номера телефона, которая теперь была отправлена.

Сообщается, что на рынке невзаимозаменяемых токенов (NFT) OpenSea исправила уязвимость, которая в случае использования может раскрывать идентифицирующую информацию об анонимных пользователях.

В блоге от 9 марта фирма по кибербезопасности Imperva подробно рассказала, как она обнаруживает уязвимость, которая, по ее распространению, может деанонимизировать пользователей OpenSea, «связывая IP-адрес, сеанса электронной почты или почты при определенных условиях» с NFT.

NFT показывает адрес кошелька криптовалюты, реальная личность пользователя может быть раскрыта из собранной информации, связанной с кошельком и его активностью, раскрыта Имперва.

Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.

This vulnerability allows for the deanonymization of users, potentially revealing a user's identity. https://t.co/nGQWceeGEc

— Imperva (@Imperva) March 9, 2023

Предполагается, что эксплойт воспользовался уязвимостью межсайтового поиска. Imperva заявила, что OpenSea неправильно настроила трафик, который изменяет размеры элементов веб-страниц, которые загружают HTML-контент из других источников, которые обычно используются для размещения рекламы, использования контента или встроенных видео.

OpenSea не ограничивает связь с этой библиотекой, эксплуататоры дают возможность использовать информацию, которую она транслирует, в качестве «оракулы», чтобы сузить круг поиска, поиск не дал результата, потому что веб-страница будет меньше.

Imperva уточнила, что достигает своей цели по электронной почте или SMS, которая при встрече «открывает ценную информацию, такую как IP-адрес цели, наблюдательный агент, сведения об исследовании и версию программного обеспечения».

Скриншот главной страницы OpenSea. Источник: OpenSea

Это позволяет использовать уязвимость OpenSea, чтобы получить имя NFT и связать подходящий адрес кошелька с идентифицирующей информацией, такой как электронная почта или номер телефона, которые были отправлены по исходной ссылке.

Imperva заявила, что OpenSea «быстро устранила проблему» и должнам ограничила связь библиотек, а также сообщила, что платформа «более не подвергается риску таких атак».

Пользователи платформы долгое время становились жертвами атак, которые имитируют функции OpenSea для использования эксплойтов, таких как фишинговые веб-сайты, которые предполагают приложения, или запросы на подписку, как предполагается, исходят от OpenSea.

Сама OpenSea подверглась критике за безопасность своей платформы из-за крупной фишинговой атаки в 2022 году, в результате чего у пользователей были украдены NFT на сумму более 1,7 миллиона долларов.

Что касается недавнего обновления, неизвестно, как долго он встречается и затронул ли он кого-либо из пользователей.

OpenSea не сразу ответила на запрос Cointelegraph о уязвимости.