Согласно заявлению ConsenSys, материнской компании MetaMask, фишинговой атаке подверглись пользователи стороннего поставщика услуг, оказывающего техническую поддержку клиентов.
«Инцидент был ограничен определенным количеством пользователей, которые отправили личные данные в службу поддержки клиентов MetaMask в период с 1 августа 2021 года по 10 февраля 2023 года», — заявили в ConsenSys.
Согласно сообщению в блоге ConsenSys, некие неавторизованные субъекты получили доступ к компьютерной системе, которая использовалась для обработки запросов на обслуживание клиентов. Это позволило злоумышленникам не только просматривать заявки, отправленные в службу поддержки пользователями MetaMask, но и скачивать конфиденциальную информацию.
В ConsenSys заявили, что служба поддержки никогда не запрашивает личную информацию в разговорах с клиентами. Однако, форма подачи заявки в электронной форме предусматривает «свободное текстовое поле», куда некоторые пользователи внесли финансовую информацию, а также имя, фамилию, дату рождения, номера телефонов и контактные адреса. По оценкам компании, в результате фишинговой атаки могли быть скомпрометированы персональные данные 7 000 пользователей MetaMask.
По данным службы поддержки ConsenSys, инцидент не затронул браузерное расширение и безопасность мобильного приложения MetaMask.
Ранее в ответ на критику MetaMask в связи с обновлением политики безопасности приложения и сбором IP-адресов пользователей, генеральный директор ConsenSys Джозеф Любин (Joseph Lubin) заявил, что полученные данные используются исключительно для целей маршрутизации и совершенствования сервисов криптокошелька.