מפקידי צלזיוס צריכים להיזהר אחר הונאות דיוג לאחר שהחברה חשפה חלק מנתוני הלקוחות שלה דלפו בהפרת נתונים של צד שלישי.
ביום שלישי, Celsius שלחה אימייל ללקוחותיה והודיעה להם כי רשימת המיילים שלהם הודלפה על ידי עובד של אחד מספקי ניהול הנתונים העסקיים וההודעות שלה.
לפי Celsius, הפרצה הגיעה ממהנדס בפלטפורמת ההודעות Customer.io, שהדליף את הנתונים לשחקן רע של צד שלישי.
"לאחרונה התבשרנו על ידי הספק שלנו Customer.io שאחד העובדים שלהם ניגש לרשימה של כתובות אימייל של לקוחות Celsius", אמר Celsius בדוא"ל שלו ללקוחות. הפרת הנתונים היא חלק מאותה חדירה שהדליפה כתובות דוא"ל של לקוחות OpenSea ביוני.
הודעה מצלזיוס: "אנחנו כותבים כדי ליידע אותך שאנחנו
הודיעו לאחרונה על ידי הספק שלנוhttps://t.co/452EROQtbc שאחד העובדים שלהם
ניגש לרשימה של דוא"ל של לקוח Celsius
כתובות שנשמרו על הפלטפורמה שלהם ו
העביר אותם לצד שלישי".— Celsians (@CelsiansNetwork) 28 ביולי 2022
צלסיוס, עם זאת, צמצמה את התקרית והצהירה כי היא לא "הווה סיכונים גבוהים עבור הלקוחות שלנו", והוסיפה שהם רק רצו שהמשתמשים "יהיו מודעים".
ב-7 ביולי, Customer.io כתב בפוסט בבלוג ש"אנחנו יודעים שזו הייתה תוצאה של פעולות מכוונות של מהנדס בכיר שהייתה לו רמת גישה נאותה לבצע את תפקידיו וסיפק את כתובות האימייל הללו לשחקן הרע". העובד פוטר מאז.
מספר המיילים שדלפו לא נמסר, וגם לא הפלטפורמה שאליה הם הודלפו.
עם זאת, קהילת הקריפטו החלה להזהיר את משתמשי צלסיוס מפני התקפות דיוג שבדרך כלל עוקבות אחר פרצת נתונים באימייל.
דיוג הוא סוג של הנדסה חברתית שבה נשלחים הודעות דוא"ל ממוקדות כדי לפתות קורבנות לחשוף נתונים אישיים נוספים או לחיצה על קישורים לאתרים זדוניים שמתקינות תוכנות זדוניות לגנוב או לכרות קריפטו.
⚠️ משתמשי צלסיוס צריכים לצפות לדוא"ל דיוג בנוסח "אמת את הארנק שלך כדי למשוך את הכספים שלך" שידייגו ל-SRP/PKey שלך בשל כך
זכור, ה-SRP שלך צריך להיות ידוע רק לך ולך בלבד https://t.co/QYuDhEE7aL
— harry.eth (whg.eth) (@sniko_) 28 ביולי 2022
פרצת מידע דומה באפריל 2021 ראתה לקוחות Celsius, לפי הדיווחים, ממוקדים על ידי אתר הונאה שטען שהם הפלטפורמה הרשמית של Celsius. חלקם קיבלו SMS ואימיילים המבקשים מהם לחשוף מידע אישי וביטויים ראשוניים.
בזמנו, החברה דיווח שהאקרים קיבלו גישה למערכת הפצת דואר אלקטרוני של צד שלישי שהיא משתמשת בה.
מידע נוסף: הפרת שרת דוא"ל רואה את הסלסים ממוקדים בהתקפות דיוג
אולי פרצת הנתונים הקריפטו המפורסמת ביותר הייתה מספקית ארנק החומרה Ledger, שהשרתים שלה נפרצו בשנת 2020. פליטת הפרטים האישיים של אלפי לקוחות באינטרנט גרמה לכך הפסדים בלתי נספרים ואפילו איומים פיזיים עבור קורבנות רבים, ובכל זאת החברה סירבה לפצות אותם.
מקור: https://cointelegraph.com/news/phishing-risks-escalate-as-celsius-confirms-client-emails-leaked