forklog.com
Команда NFT-маркетплейса OpenSea устранила уязвимость, угрожавшую раскрытием данных пользователей. Проблему обнаружили специалисты компании Imperva.
Imperva Red Team discovered a cross-site search vulnerability affecting the #NFT marketplace #OpenSea.
— Imperva (@Imperva) March 9, 2023
This vulnerability allows for the deanonymization of users, potentially revealing a user's identity. https://t.co/nGQWceeGEc
Эксперты фирмы по кибербезопасности обнаружили, что баг позволял деанонимизировать клиентов платформы, связывая IP-адрес, данные сеанса браузера и электронную почту с конкретным NFT.
Согласно экспертам, причиной ошибки стала неправильная настройка библиотеки iFrame-resizer. Уязвимость давала возможность агрегировать данные через межсайтовый поиск.
Используя возвращаемую по запросам информацию, злоумышленник мог далее посылать потенциальной жертве фишинговые ссылки.
Напомним, в декабре 2022 года пользователи OpenSea стали жертвами атаки на несколько миллионов долларов.