MetaMask đã cảnh báo cho người dùng iOS của họ về rủi ro khi lưu trữ “seed” của ví điện tử trong iCloud của Apple nếu tính năng sao lưu dữ liệu ứng dụng đang hoạt động.
MetaMask là một ví điện tử “nóng” có hơn 21 triệu người sử dụng để lưu trữ mã token và quản lý tài sản số (digital asset).
Trong cryptocurrency, “seed” là thành phần dùng để cung cấp quyền truy cập vào tiền điện tử được liên kết với ví.
Việc lưu trữ “seed” trong iCloud sẽ khiến tài sản số của người dùng gặp rủi ro nếu tài khoản Apple của họ bị xâm phạm.
Ví dụ về trường hợp lừa đảo
Một người dùng MetaMask đã mất hơn 655 nghìn đô do một cuộc tấn công lừa đảo.
Nạn nhân đã nhận được các tin nhắn yêu cầu thiết lập lại tài khoản Apple. Sau đó, kẻ tấn công đã thực hiện một cuộc gọi mạo danh, giả mạo là nhân viên hỗ trợ của Apple đang điều tra hoạt động đáng ngờ trên tài khoản của anh ta.
Nạn nhân đã làm theo yêu cầu và cung cấp cho kẻ mạo danh mã xác minh gồm sáu chữ số nhận được từ Apple. Không bao lâu sau, ví MetaMask của nạn nhân đã bị mất hết tiền.
Kẻ tấn công đã yêu cầu thiết lập lại mật khẩu tài khoản Apple và tất cả những gì hắn cần là mã xác minh bổ sung để truy cập vào dữ liệu iCloud của nạn nhân- nơi “seed” MetaMask đã được sao lưu. Điều này cho phép hắn truy cập vào ví và đánh cắp số tiền điện tử trị giá 655.388 đô.
Nên làm gì
Để bảo vệ tài sản số của bạn khỏi các cuộc tấn công như vậy, hãy loại bỏ MetaMask khỏi danh sách sao lưu iCloud qua Cài đặt> Hồ sơ> iCloud> Quản lý bộ nhớ> Sao lưu (Settings > Profile > iCloud > Manage Storage > Backups).
Không bao giờ chia sẻ mã xác thực hai yếu tố/mã OTP với bất kỳ ai, bất kể cuộc gọi, email hoặc tin nhắn nào.
Ngoài ra, người dùng tiền điện tử có thể giữ tài sản của họ an toàn hơn trong “ví lạnh” thay vì “ví nóng” MetaMask nếu họ không thường xuyên thực hiện giao dịch.
Cuối cùng, không tiết lộ các khoản đầu tư của bạn trên các phương tiện truyền thông xã hội hay các kênh công khai khác để tránh trở thành mục tiêu của những kẻ tấn công.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Elementor-plugin xây dựng trang web WordPress với hơn năm triệu lượt cài đặt, được phát hiện có chứa lỗ hổng cho phép thực thi mã từ xa.
Tín nhiệm mạng | GitHub cho biết kẻ tấn công đã lạm dụng mã OAuth token bị đánh cắp được cấp cho hai dịch vụ xác thực bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM
Tín nhiệm mạng | Cisco phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến Wireless LAN Controller, cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị ảnh hưởng mà không cần xác thực.
Tín nhiệm mạng | Một lỗ hổng bảo mật trong nền tảng NFT Rarible cho phép kẻ tấn công chiếm đoạt tài khoản và đánh cắp tài sản tiền điện tử.
Tín nhiệm mạng | Google đã phát hành bản cập nhật khẩn cấp để vá hai lỗ hổng bảo mật trong trình duyệt Chrome, một trong số đó đang bị khai thác trong thực tế.
Tín nhiệm mạng | Phát hiện một lỗ hổng LFI mới trong nền tảng viết blog Hashnode cho phép kẻ tấn công truy cập vào dữ liệu nhạy cảm như khóa SSH, địa chỉ IP máy chủ và các thông tin network khác.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
