OpenSea исправляет серьезную уязвимость, которая могла привести к утечке ваших личных данных

  • ❗️Уважаемые форумчане, ознакомьтесь с правилами форума. Все сообщения и темы должны быть опубликованы в разделах, которые соответствуют их тематике и с четким соблюдением правил форматирования. Нарушение этих правил приведет к блокировке вашего аккаунта.

    Для благодарности на форуме существует кнопка "LIKE", а все сообщения с благодарностями - флуд и захламление тем. Так вы только усложняете поиск информации на форуме. Все кто будут оставлять подобные сообщения - будут восприняты как спам и приведут к блокировке.

    Прежде чем создавать тему с вопросом или добавлять новый вопрос в теме - используйте поиск по форуму, с вероятностью 99% ответ на данный вопрос уже есть на форуме. В противном случае флуд с вопросами будет воспринят как накрутка сообщений и ваш аккаунт будет заблокирован.

  • 🔥 В этом разделе действует конкурс "Горячие новости" - призовой фонд до 20 000 баллов еженедельно
  • 🤝 Партнерская программа. Пригласи друга и получи 500 баллов. Подробнее
  • 🤑 Общайся на форуме за деньги. На форуме существует оплата за создание тем и сообщений. За публикацию полезной информации, пользователи получают баллы, которые можно обменять на криптовалюту
BOMBERuss

BOMBERuss

Участник
Топикстартер
22 Сен 2022
1 203
430
38
ZetaChain
www.bomberuss.ru
TON Testnet
0
Баллы
15 660
Imperva, которая занимается IT-безопасностью, нашли дыру в безопасности NFT маркетплейса OpenSea, которые позволяли получить идентификаторы пользователей маркетплейса и деанонимизировать их путем использования атаки XS-Leaks.
Использование данной уязвимости было довольно простое и используется межсайтовый поиск:
  1. Хакер отправляет жертве ссылку через мессенджер или E-mail;
  2. Жертва переходит по этой ссылке;
  3. Хакер получает IP, user-agent, версию ПО и всю информацию об устройстве жертвы;
  4. Далее межсайтовым поиском (XS-Search) получают имена NFT жертвы;
  5. После этого связывает имена NFT или адрес публичного кошелька с почтой или номером телефона жертвы.
Проблема не критична, но она лишает пользователей маркетплейса анонимности.
Уязвимость появилась в результате не верной настройки iFrame-resize и при ее использовании не было ограничения обмена данными. Скорее всего при использовании движка для поиска по сайту ElasticSearch.
Opensea закрыл уязвимость XS-Leaks

Данная уязвимость уже устранена маркетплейсом OpenSea,

Источник: https://www.imperva.com/blog/deanonymizing-opensea-nft-owners-via-xs-leaks-vulnerability/
 
Последнее редактирование:
Василий

Василий

Начинающий
3 Мар 2023
55
7
TON Testnet
0
Баллы
260
Это очередное напоминание о том, что даже крупные и уважаемые компании могут иметь уязвимости в своих продуктах, которые могут стать объектом атак со стороны злоумышленников. OpenSea - один из наиболее популярных NFT маркетплейсов в мире, и тот факт, что такой крупный игрок имел уязвимость в своей безопасности, вызывает определенную озабоченность.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу