14.03.2023 | OpenSea исправила уязвимость, которая раскрывает личность владельца NFT |
Исследователи безопасности из команды Imperva Red Team обнаружили уязвимость межсайтового поиска ( XS-Search ) на торговой площадке OpenSea, которая позволяет злоумышленнику раскрыть личность пользователя. Эксперты представили видео , демонстрирующее работу уязвимости. Все, что нужно сделать хакеру, — это привязать IP-адрес, адрес электронной почты или сеанс браузера к определенному NFT. В результате киберпреступник получает доступ к адресу кошелька, который раскрывает личность пользователя. Злоумышленник отправляет своей цели ссылку через различные каналы связи, например, SMS или электронную почту. Когда жертва нажимает на ссылку, информация о его IP-адресе, устройстве, useragent и версии ПО отправляется киберпреступнику. Затем злоумышленник может использовать уязвимость межсайтового поиска, чтобы получить идентификатор NFT жертвы и сопоставить раскрытый адрес NFT-кошелька с номером телефона или адресом электронной почты, на который была отправлена ссылка. Ошибка вызвана неправильной конфигурацией библиотеки «iFrame-resizer», которая использует OpenSea. Когда эта библиотека используется там, где обмен данными между источниками не ограничен, возникает уязвимость межсайтового поиска. OpenSea не ограничивал обмен данными, что привело к этой проблеме. Эта неправильная конфигурация позволяет раскрыть личность пользователя. Учитывая тот факт, что экосистема NFT полностью основана на анонимности, такой недостаток может иметь серьезные последствия для бизнеса OpenSea, поскольку в случае его использования злоумышленник может начать фишинговые атаки, а также может отслеживать пользователей, которые приобрели NFT с наибольшей стоимостью. Как работает уязвимость межсайтового поиска Уязвимость межсайтового поиска (XS-Search) основана на семействе атак XS-Leaks. XS-Search можно найти в веб-приложениях, использующих механизмы поиска на основе запросов. Уязвимость позволяет злоумышленнику извлекать конфиденциальную информацию из другого источника, отправляя запросы и наблюдая за различиями в поведении поисковой системы, когда она возвращает или не возвращает результаты. Хакер постепенно собирает информацию о пользователе, отправляя многочисленные запросы поисковой системе и используя заметные различия в поведении системы для извлечения данных жертвы. После раскрытия уязвимости OpenSea быстро исправила ее, выпустив обновление, ограничивающее обмен данными между источниками ( Cross-Origin Resource Sharing, CORS ). Исправление предотвратило дальнейшее использование уязвимости. |
Проверить безопасность сайта