Команда NFT-маркетплейсу OpenSea усунула вразливість, що загрожувала розкриттям даних користувачів. Проблему знайшли спеціалісти компанії Imperva.
Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.
This vulnerability allows for the deanonymization of users, potentially revealing a user's identity. https://t.co/nGQWceeGEc
— Imperva (@Imperva) March 9, 2023
Експерти компанії з кібербезпеки з’ясували, що баг дозволяв деанонімізувати клієнтів платформи, пов’язуючи IP-адресу, дані сеансу браузера та електронну пошту з конкретним NFT.
За словами експертів, причиною помилки стало неправильне налаштування бібліотеки iFrame-resizer. Вразливість давала можливість отримувати дані через міжсайтовий пошук.
Використовуючи інформацію, що повертається за запитами, зловмисник міг надіслати потенційній жертві фішингові посилання.
Нагадаємо, у грудні 2022 року користувачі OpenSea стали жертвами атаки, вартістю на кілька мільйонів доларів.