根据摄氏社区的说法,据称该公司一直在联系用户,通知他们直接影响他们的数据泄露,这很容易导致网络钓鱼尝试。
一名心怀不满的员工,两个邮件列表
摄氏公司的公告:“我们写信是为了让您知道,我们
最近我们的供应商通知了我们https://t.co/452EROQtbc 他们的一名员工
访问了摄氏客户电子邮件列表
在他们的平台上保存的地址和
将这些转移给第三方。”— Celsians(@CelsiansNetwork) 2022 年 7 月 28 日
据报道,该漏洞于 30 月 XNUMX 日与 OpenSea 客户端数据同时被发现 泄漏. 当时,Celsius 联系了 Customer.io(为 OpenSea 和 Celsius 处理市场通信的公司),后者表示加密贷方的客户数据不受影响。
然而,8 月 XNUMX 日,据称 Customer.io 代表撤回了他们的声明,并告知摄氏他们的一些客户数据实际上已被泄露。 此后,该员工已被解雇,Customer.io 更新了有关该事件的声明,称其他五名客户的数据也已被 被盗.
“在进一步调查了 OpenSea 电子邮件地址泄露事件后,我们今天了解到,其他五名客户的电子邮件地址也被提供给了同一个外部不良行为者。”
看起来摄氏可能是五个之一,因为用户在 Twitter 上分享了他们收到的警告电子邮件的屏幕截图。
— 分贝(@tier10k) 2022 年 7 月 28 日
预期的网络钓鱼尝试
根据摄氏用户分享的屏幕截图,泄露给不良行为者的唯一客户端数据是电子邮件地址列表,没有其他个人识别信息 (PII)。
据报道,Celsius 预计不会对进一步的客户数据安全造成任何重大威胁。 然而,该团队仍然警告用户保持警惕,如果受到影响,请联系摄氏支持。
“我们认为该事件不会给我们的电子邮件地址可能受到影响的客户带来任何高风险,但我们正在发布此通信以确保您知道。”
同时,网络安全研究人员警告用户,可能的网络钓鱼电子邮件将 容易 以指向允许用户提取资金的虚假验证过程的链接的形式出现。 然而,颇具讽刺意味的是,尽管这将是一个很好的社会工程——特别是因为摄氏取款仍然被冻结——从平台的取款仍然,嗯,暂停。 因此,尚不清楚不良行为者如何会耗尽毫无戒心的受害者的钱包。
然而,该事件再次提醒所有人保持其私钥安全和离线,并避免跟踪无法确定来源的链接或二维码。
随着摄氏的法庭案件的进展,这一事件可能会成为平台用户心中的另一个令人担忧的想法。
来源:https://cryptopotato.com/celcius-client-data-leaked-in-the-same-breach-as-opensea/