Syarikat ConsenSys yang membangunkan wallet mata wang kripto, MetaMask telah memberi amaran kepada pengguna peranti Apple, terutama iPhone, Mac, dan iPad dengan serangan pancingan data iCloud.
Amaran untuk pengguna yang telah mengaktifkan sokongan (backup) automatik untuk data aplikasi MetaMask kerana tetapan itu membolehkan peranti menjejak seed phrase.
MetaMask mengambil serius perkara tersebut melalui ciapan rasmi di laman Twitter pada hari ini:
🔒 If you have enabled iCloud backup for app data, this will include your password-encrypted MetaMask vault. If your password isn’t strong enough, and someone phishes your iCloud credentials, this can mean stolen funds. (Read on 👇) 1/3
— MetaMask 🦊🫰 (@MetaMask) April 17, 2022
Aplikasi tersebut menggesa pengguna peranti Apple untuk menyahkan sokongan iCloud secara automatik bagi aplikasi MetaMask.
Insiden kecurian dana yang disebabkan data iCloud yang digodam boleh berlaku pada bila-bila masa sahaja jika pengguna menggunakan katalaluan yang tidak kuat.
Sebagai rekod, MetaMask telah berintegrasi dengan Apple Pay pada akhir Mac.
Apa yang berlaku?
Difahamkan seorang pengumpul non-fungible token (NFT) yang dikenali sebagai ‘revive_dom’ di Twitter telah memaklumkan walletnya – memiliki sejumlah NFT dan aset kripto bernilai $650,000 – telah lesap kerana isu sekuriti.
Insiden ini mendapat perhatian pengasas projek DAPE NFT, Serpent yang seterusnya cuba menarik perhatian MetaMask melalui perjalanan kejadian dalam untaian ciapan Twitter.
Mangsa dikatakan menerima beberapa mesej yang meminta untuknya set semula katalaluan Apple ID bersama panggilan daripada Apple.
Tanpa mengesyaki apa-apa, ‘revive_dom’ menyerahkan kod pengesahan enam digit yang membuktikan dia adalah pemilik akaun tersebut, tanpa menyedari rupa-rupanya panggilan tersebut adalah palsu, bukan daripada pihak Apple.
Sekelip mata akaun MetaMask-nya telah diakses kerana ada data berkaitan yang tersimpan dalam iCloud.
Maka, berhati-hatilah dengan ‘automatic backup’ di iCloud. Nampak macam mudah, tapi kalau sudah terhantuk barulah nak terngadah.
Pada masa yang sama, pelabur kripto Intraday.my janganlah terlalu naif ya? Sebarang mesej atau panggilan daripada mana-mana kononnya entiti sah yang meminta data peribadi anda melibatkan katalaluan, seedphrase, atau nombor akaun bank, jangan cepat gelabah tapi abaikan sahaja.
Jika tak senang duduk, cuba hubungi sendiri pihak rasmi atau buat carian internet untuk sebarang pemberitahuan bagi tujuan rujukan dan bantuan.
Pesanan penulis, suuzon banyak sikit.
