MetaMask: 18 Monate Zugriff auf Kundendaten nach Angriff auf Ticket-System
Bei einem Sicherheitsvorfall beim ConsenSys-Support erhielten Unbefugte Zugriff auf Kundendaten. Die Wallet-Anwendungen MetaMask waren nicht direkt betroffen.
(Bild: stockphoto-graf/Shutterstock)
Bei dem Anbieter der Ethereum-Wallet MetaMask kam es zu einem Cybersicherheitsvorfall. Betroffen gewesen ist demnach das Ticket-System eines Drittanbieters für den Kundensupport, der mit den Kundendaten arbeitet. ConsenSys, das Software-Unternehmen hinter MetaMask, versichert in einem Blog-Beitrag, dass die Browsererweiterung und Mobile-App MetaMask zu jeder Zeit sicher gewesen seien. Betroffen seien lediglich Nutzer, die Kontakt zur Kundenbetreuung zum Zeitpunkt des Sicherheitsvorfalls hatten – und der dauerte über 18 Monate.
Freifeld für Informationen "nach eigenem Ermessen"
Der namentlich nicht genannte Drittanbieter des Ticket-Systems für die Kundenbetreuung hatte demnach ein Sicherheitsproblem zwischen dem 1. August 2021 und dem 10. Februar 2023. Nutzer der Krypto-Wallet MetaMask, die während dieses Zeitraums Kontakt mit dem Kundensupport hatten, könnten potenzielle Opfer des Sicherheitsvorfalls gewesen sein. Unbefugte hätten sich Zugang zu den Systemen verschafft und Zugriff auf personenbezogene Daten gehabt. Darunter mindestens die E-Mail-Adresse.
Für die Bereitstellung des Supports frage man nur begrenzt persönliche Daten ab. In einem Freifeld jedoch, so ConsenSys, könnten Nutzer "nach eigenem Ermessen Informationen eingeben". Darunter würden etwa auch "wirtschaftliche und Vermögensinformationen oder Namen, Geburtsdatum, Anschrift sowie Telefonnummern" fallen, heißt es in der Mitteilung weiter. Diese würden für die Bereitstellung des Kundensupports zwar nicht angefordert werden, könnten aber in die Hände der Angreifer gelangt sein, sofern vom Hilfesuchenden eingegeben.
Vorfall war 18 Monate bekannt
Da ConsenSys "aufgrund der begrenzten Datenerfassung" nicht alle betroffenen Kunden ausfindig machen könne, habe das New Yorker-Softwareunternehmen alle potenziellen Opfer über den Vorfall informiert und eine Mitteilung an etwa 7000 Benutzer geschickt. Das Problem sei mittlerweile behoben und der Zugriff durch Unbefugte unterbunden worden. Man habe zusätzlich Maßnahmen ergriffen, um ähnliche Vorfälle in Zukunft auszuschließen. Neben Untersuchungen durch IT-Sicherheits- und Forensik-Teams habe man die irische und britische Datenschutzbehörde informiert.
Zusätzlich weist ConsenSys in der Mitteilung darauf hin, mit verdächtigen Aktivitäten und unaufgeforderten Kontaktaufnahmen per E-Mail, Telefon oder SMS "äußerst wachsam" umzugehen, Anfragen dieser Art nicht zu beachten oder darauf zu reagieren und dem Unternehmen zu melden. Der Mitteilung zufolge wurde das Problem bereits im August 2021 erstmals gemeldet, warum die Sicherheitslücke erst im Februar 2023 geschlossen und erst jetzt darauf hingewiesen wurde, bleibt unklar.
(bme)