流行的以太坊錢包 MetaMask 最近經歷了一次網絡安全事件,暴露了其部分用戶的電子郵件地址在 2021 年 8 月 1 日至 2023 年 2 月 10 日期間提交客戶支持票的用戶。母公司 ConsenSys 於 2023 年 4 月 14 日發布了一篇博文,披露了該事件的詳細信息。
根據帖子,未經授權的行為者獲得了對用於處理的第三方計算機系統的訪問權限客戶服務請求。這使他們有可能查看 MetaMask 用戶提交的客戶支持票。雖然票證除了幫助用戶所必需的信息外沒有要求其他信息,但它們確實包含一個自由文本字段,一些用戶可能已經使用該字段提交個人身份信息。這可能包括經濟或財務信息、姓名、出生日期、電話號碼和郵政地址。
ConsenSys 強調它不會在客戶對話中要求提供個人身份信息,但一些用戶可能已經提供無論如何。該漏洞可能影響了多達 7,000 名 MetaMask 用戶,他們在受影響的時間段內提交了客戶支持票。
作為對該事件的回應,硬件錢包提供商 Keystone 警告 MetaMask 用戶他們可能會收到更多釣魚郵件.攻擊者可能會使用這個刷過的電子郵件數據庫來尋找潛在的受害者。網絡釣魚是一種欺騙用戶向攻擊者提供敏感信息的騙局。它通常是通過向受害者發送一封電子郵件來執行的,該電子郵件似乎來自受信任方或受害者認識的人。
ConsenSys 表示已採取措施在未來消除未經授權的訪問。因此,2 月 10 日之後提交的工單應該不受此事件的影響。該公司還聯繫了愛爾蘭數據保護委員會和英國信息專員辦公室,報告了這一違規行為。此外,該公司的第三方客戶服務提供商正在與網絡安全和取證團隊合作,對事件進行更詳細的調查。
這不是 MetaMask 第一次受到隱私倡導者的審查。 2022 年底,該公司透露它有時會記錄用戶的 IP 地址。但是,它在 3 月份更新了其應用程序,讓用戶能夠更好地控制哪些提供商可以獲得這些信息。
該事件凸顯了網絡安全在加密貨幣行業中的重要性。用戶應保持警惕並採取措施保護他們的個人信息,例如使用強而獨特的密碼並啟用雙因素身份驗證。