Xakep #305. Многошаговые SQL-инъекции
Создатели MetaMask опубликовали предупреждение для пользователей iOS, сообщив, что при включенном резервном копировании данных приложения seed криптовалютных кошельков хранится в Apple iCloud. Это предупреждение появилось из-за того, что один пользователь MetaMask уже потерял более 655 000 долларов в результате хорошо продуманной фишинговой атаки.
Напомню, что MetaMask представляет собой горячий криптовалютный кошелек, которым пользуются более 21 млн человек. В свою очередь seed в криптовалютном мире — это секретная фраза восстановления, защищающая доступ к содержимому кошелька и состоящая из 12 слов.
В Twitter разработчики предупреждают, что если злоумышленники проникнут в iCloud пользователя (с помощью фишинга или подобрав слишком слабый пароль), из-за хранящихся там бэкапов они смогут захватить контроль над кошельком и похитить чужие средства.
К сожалению, такой сценарий уже использовался хакерами как минимум против одного пользователя MetaMask, который в итоге лишился 655 388 долларов. Жертва получила несколько текстовых сообщений с просьбой сбросить учетные данные от учетной записи Apple, а затем злоумышленник позвонил с поддельного номера Apple Inc., представившись сотрудником службы поддержки, расследующим подозрительную активность.
Пострадавший поверил мошенникам, выполнил все их инструкции и предоставил фейковым специалистами поддержки шестизначный код подтверждения, полученный от Apple. Вскоре его кошелек MetaMask опустел. По сути, хакеры запросили сброс пароля от учетной записи Apple, и им требовалось пройти дополнительную проверку для доступа к данным iCloud жертвы, где хранилась резервная копия MetaMask и нужный злоумышленникам seed.
Теперь пользователями рекомендуют исключить MetaMask из резервных копий iCloud, изменив соответствующий параметр в настройках: Settings -> Profile -> iCloud -> Manage Storage -> Backups.