- Der Vorfall betraf Nutzer, die MetaMask ihre persönlichen Daten über Support-Tickets zur Verfügung gestellt hatten.
- Rund 7.000 MetaMask-Nutzer weltweit waren betroffen.
Eine Datenpanne bei MetaMask, einer führenden Ethereum-basierten Wallet und der Tochter von ConsenSys, betraf die Informationen von 7.000 Nutzern, heißt es in einem Blogbeitrag auf der offiziellen Website von ConsenSys.
Der Vorfall betraf diejenigen Nutzer, die ihre persönlichen Daten zwischen dem 1. August 2021 und dem 10. Februar dieses Jahres über Support-Tickets an MetaMask weitergegeben haben.
Die mobile App und die Browsererweiterung von MetaMask waren von der Datenpanne nicht betroffen, da sich Unbefugte nur Zugang zu den Informationen einiger Nutzer verschafft haben.
Etwa 7000 Nutzer betroffen
Während der MetaMask-Support nur das absolute Minimum an persönlichen Daten abfragt, nämlich nur solche Daten, die für die Bereitstellung des Supports benötigt werden, enthalten die Tickets beim MetaMask-Support ein Freitextfeld, in das die Nutzer alle gewünschten Informationen eingeben können.
Dazu können laut ConsenSys Vor- und Nachname, wirtschaftliche oder finanzielle Informationen, Geburtsdatum, Telefonnummer und sogar die Postanschrift gehören.
MetaMask fordert diese Art von persönlichen Daten zwar nicht im Rahmen der Bereitstellung von Unterstützung an, verlangt aber eine E-Mail-Adresse. Und wenn die E-Mail gehackt wird, richtet das allein schon genug Schaden an.
ConsenSys schreibt, dass man technisch nicht in der Lage war, jeden einzelnen Nutzer zu identifizieren, auf dessen Daten möglicherweise zugegriffen wurde. Deshalb hat man eine Benachrichtigung an alle Nutzer verschickt, die sich im betreffenden Zeitraum an den Support der Wallet gewandt haben. Es wird geschätzt, dass etwa 7.000 MetaMask-Nutzer weltweit betroffen waren.
Welche Maßnahmen wurden ergriffen?
Um zu verhindern, dass sich solche Vorfälle wiederholen, hat ConsenSys ein verbessertes Risikomanagementprogramm für seine Dienste eingeführt, heißt es im Blogbeitrag. Die Bedrohung besteht nicht mehr, da die Plattform Maßnahmen ergriffen hat, um den unbefugten Zugriff zu verhindern.
Außerdem wurde der Vorfall den zuständigen Behörden gemeldet – dem britischen Information Commissioner’s Office und der irischen Data Protection Commission.
Das ist nicht das erste Mal, dass Cyber-Kriminelle MetaMask ins Visier nehmen. Im Jahr 2021 erbeuteten Hacker mindestens eine halbe Million US-Dollar, indem sie Google-Anzeigen nutzten, um Nutzer von MetaMask und der Kryptobörse Pancake in die Irre zu führen.