Пользователи MetaMask стали жертвами фишинговой атаки, в ходе которой злоумышленники получили несанкционированный доступ к личной информации клиентов. ConsenSys, материнская компания MetaMask, сообщила, что атака была направлена на пользователей стороннего поставщика услуг технической поддержки. Ограниченное количество пользователей, которые отправляли личные данные в службу поддержки клиентов MetaMask в период с августа 2021 года по февралю 2023 года, подверглись этой атаке.
Согласно сообщению в блоге ConsenSys, неавторизованные субъекты получили доступ к компьютерной системе, используемой для обработки запросов на обслуживание клиентов, что позволило злоумышленникам просматривать заявки, отправленные в службу поддержки пользователей MetaMask, и скачивать конфиденциальную информацию. Хотя служба поддержки никогда не запрашивает личную информацию в разговорах с клиентами, форма подачи заявки в электронной форме предусматривает свободное текстовое поле, куда некоторые пользователи внесли финансовую информацию, а также имя, фамилию, дату рождения, номера телефонов и контактные адреса.
Согласно оценкам компании, в результате фишинговой атаки могли быть скомпрометированы персональные данные 7 000 пользователей MetaMask. Однако, браузерное расширение и безопасность мобильного приложения MetaMask не пострадали от этого инцидента. Ранее генеральный директор ConsenSys Джозеф Любин (Joseph Lubin) заявлял, что данные, собранные приложением, используются исключительно для целей маршрутизации и улучшения сервисов криптокошелька, в ответ на критику MetaMask в связи с обновлением политики безопасности приложения и сбором IP-адресов пользователей.