" Адреса электронной почты некоторых пользователей MetaMask могли быть раскрыты злоумышленникам из-за недавно обнаруженного инцидента кибербезопасности.
По данным материнской компании ConsenSys, инцидент затронул пользователей, которые отправили запрос в службу поддержки MetaMask в период с 1 августа 2021 года по 10 февраля 2023 года.
Согласно сообщению в блоге от 14 апреля, неавторизованные субъекты получили доступ к сторонней компьютерной системе, которая использовалась для обработки запросов на обслуживание клиентов, что потенциально позволило им просматривать заявки в службу поддержки, отправленные пользователями MetaMask.
Эти тикеты не запрашивали информацию, кроме той, которая была необходима, чтобы помочь пользователю, включая адрес электронной почты для облегчения ответов. Однако они включали «свободное текстовое поле», которое некоторые пользователи могли использовать для отправки личной информации. Это могло включать «экономическую или финансовую информацию, имя, фамилию, дату рождения, номер телефона и почтовый адрес», — говорится в сообщении.
Consensys подчеркнул, что он не запрашивает личную информацию в разговорах с клиентами, но некоторые, возможно, все равно предоставили ее.
По оценкам компании, нарушение могло затронуть до 7000 пользователей MetaMask, которые отправили запросы в службу поддержки клиентов.
В ответ на этот инцидент поставщик аппаратных кошельков Keystone предупредил пользователей MetaMask, что некоторые из них могут получить больше фишинговых писем из-за инцидента, поскольку злоумышленник может использовать эту базу данных электронной почты для поиска потенциальных жертв.
Фишинг — это мошенничество, которое обманом заставляет пользователя предоставить злоумышленнику конфиденциальную информацию. Фишинг осуществляется путем отправки электронной почты жертве, которая, как представляется, от доверенной стороны или от кого-то, кого жертва знает.
Consensys заявила, что предприняла шаги для предотвращения несанкционированного доступа в будущем. В результате инцидент не затронет тикеты, отправленные после 10 февраля. Они также связались с Комиссией по защите данных Ирландии и Управлением комиссара по информации Соединенного Королевства, чтобы сообщить о взломе. Кроме того, сторонний поставщик обслуживания клиентов компании работает с группой по кибербезопасности и судебной экспертизе для проведения более подробного расследования инцидента.
MetaMask подвергся критике со стороны защитников конфиденциальности в конце 2022 года, когда выяснилось, что иногда он регистрирует IP-адреса пользователей. Однако в марте компания обновила свое приложение, чтобы дать пользователям больше контроля над тем, какие поставщики могут получить эту информацию.
