Hơn 7 triệu email người dùng OpenSea rò rỉ từ năm 2022, bao gồm cả email của Changpeng Zhao (CZ) cựu CEO Binance, nay đã bị phát tán rộng rãi trên mạng.
Chi tiết
Vào tháng 06/2022, nền tảng NFT marketplace OpenSea tuyên bố rằng một nhân viên của nhà cung cấp dịch vụ email Customer.io, đối tác bên thứ ba của nền tảng giao dịch NFT này đã sử dụng sai mục đích quyền truy cập của mình để tải và chia sẻ địa chỉ email của người dùng OpenSea cho bên ngoài.
Tại thời điểm đó, OpenSea khuyến cáo người dùng rằng bất kỳ ai từng chia sẻ email với nền tảng này đều có thể bị ảnh hưởng. Sàn giao dịch cam kết hợp tác với Customer.io trong cuộc điều tra và báo cáo vụ việc cho cơ quan chức năng.
Tuy nhiên, theo “23pds”, giám đốc an ninh thông tin của công ty blockchain SlowMist, số dữ liệu bị rò rỉ đã bị phát tán rộng rãi. Điều này làm dấy lên lo ngại về nguy cơ bảo mật khi toàn bộ dữ liệu giờ đây rất có khả năng đã rơi vào tay kẻ xấu.
Thậm chí, 23pds còn chia sẻ một ảnh chụp màn hình trên Telegram cho thấy tệp dữ liệu mang tên opensea.io_mail_list.rar hiện đã có sẵn để tải xuống. Tệp dữ liệu này chứa thông tin của 7 triệu địa chỉ email, bao gồm người dùng cá nhân, doanh nghiệp và các KOL nổi tiếng trong ngành tiền mã hóa. Đáng chú ý, danh sách này còn bao gồm email của Changpeng Zhao (CZ), cựu CEO Binance.
Ảnh chụp màn hình tin nhắn trên Telegram ngày 26/12 có chứa địa chỉ email bị rò rỉ dưới dạng tệp đính kèm. Nguồn: 23pds
Ông giải thích rằng mặc dù vụ tấn công xảy ra từ tháng 06/2022 nhưng mãi đến gần đây dữ liệu này mới được công khai, mở ra cơ hội cho các nhóm tội phạm mạng thực hiện lừa đảo và tấn công phishing trên quy mô lớn.
“Trước đây, dữ liệu rò rỉ chưa được công khai. Nhưng giờ đây, toàn bộ thông tin này đã được phát tán hoàn toàn, tạo điều kiện cho các nhóm tội phạm mạng triển khai các chiến dịch lừa đảo tinh vi hơn.”
Để đối phó với nguy cơ bị tấn công, 23pds khuyến nghị người dùng nghi ngờ rằng email của mình có thể đã bị rò rỉ cần thực hiện ngay các biện pháp bảo mật sau:
- Sử dụng mật khẩu mạnh và duy nhất: Không sử dụng cùng một mật khẩu cho nhiều tài khoản để giảm thiểu rủi ro.
- Kích hoạt xác thực hai yếu tố (2FA): Ưu tiên dùng ứng dụng xác thực thay vì SMS để tránh nguy cơ bị tấn công SIM.
- Cập nhật phần mềm và thiết bị: Luôn đảm bảo rằng hệ điều hành và các ứng dụng được cập nhật phiên bản mới nhất để ngăn chặn các lỗ hổng bảo mật.
- Cảnh giác với email đáng ngờ: Không nhấp vào các liên kết lạ hoặc tải xuống tệp từ email không rõ nguồn gốc, đặc biệt là các email yêu cầu cung cấp thông tin cá nhân hoặc tài sản kỹ thuật số.
Phishing hiện là một trong những phương thức tấn công hiệu quả và ít tốn kém nhất của các nhóm tội phạm mạng. Khi thông tin cá nhân như email bị lộ, kẻ gian có thể dễ dàng gửi các tin nhắn giả mạo nhằm lừa người dùng cung cấp thông tin nhạy cảm hoặc thực hiện các giao dịch tài sản kỹ thuật số.
Theo báo cáo của CertiK, phishing là hình thức tấn công gây thiệt hại lớn nhất trong năm qua với hơn 1 tỷ USD tài sản kỹ thuật số bị đánh cắp qua 296 vụ việc. Công ty cũng lưu ý rằng con số thực tế có thể còn cao hơn do nhiều vụ việc không được báo cáo hoặc khó phát hiện.
Thống kê số tiền đánh cắp bởi tấn công phishing qua từng năm. Nguồn: CertiK
Năm 2024 chứng kiến hàng loạt vụ tấn công phishing gây thiệt hại lớn nhắm vào cả cá nhân lẫn tổ chức trong ngành tiền mã hóa. Một số vụ tấn công tiêu biểu có thể kể tới như:
- Tháng 11/2024: Một nạn nhân bị mất 129 triệu USDT trên mạng TRON vì bị lừa bởi địa chỉ ví mạo danh với các ký tự cuối giống ví thật. May mắn thay, toàn bộ số tiền đã được hoàn trả 100%.
- Tháng 08/2024: Một người dùng bị đánh cắp 55,4 triệu USD stablecoin DAI sau khi vô tình ký xác nhận giao dịch chứa mã độc từ một trang phishing.
- Tháng 07/2024: Ethereum Foundation bị hack email, đăng tải đường link phishing giả mạo chương trình staking của Lido.
- Tháng 05/2024: Một người dùng mất 3 NFT Bored Ape “hàng hiếm” do bị lừa đảo qua một đường link phishing.
- Tháng 05/2024: Một nhà đầu tư người Việt đã vô tình gửi nhầm 68 triệu USD WBTC vào địa chỉ ví của kẻ lừa đảo vì nhầm lẫn. Đáng chú ý, toàn bộ số tiền sau đó đã được hoàn trả đầy đủ.
Với việc dữ liệu email của hơn 7 triệu người dùng OpenSea giờ đây đã hoàn toàn công khai, nguy cơ từ các chiến dịch lừa đảo chắc chắn sẽ gia tăng. Người dùng cần cảnh giác và chủ động bảo vệ thông tin của mình để tránh trở thành nạn nhân của các cuộc tấn công này.
Theo Coinviet tổng hợp
Cùng theo dõi Coinviet.net và xem thêm những tin tức hữu ích khác tại Dexnew.io nhé!
