Data Pengguna MetaMask Mungkin Terkena Dampak Pelanggaran Keamanan

JAKARTA - Beberapa alamat email pengguna MetaMask mungkin terkena akses pihak yang tidak berwenang karena adanya insiden keamanan siber yang baru ditemukan. Menurut perusahaan induk ConsenSys, insiden tersebut memengaruhi pengguna yang mengajukan tiket dukungan pelanggan ke MetaMask antara 1 Agustus 2021 hingga 10 Februari 2023.

Menurut kiriman blog pada 14 April, aktor yang tidak sah memperoleh akses ke sistem komputer pihak ketiga yang digunakan untuk memproses permintaan layanan pelanggan, yang memungkinkan mereka untuk melihat tiket dukungan pelanggan yang diajukan oleh pengguna MetaMask.

🚨 A third-party service provider that provides customer support ticketing services to ConsenSys was the target of a cyber-security incident

⚠️ Be cautious of the potential increase in phishing emails moving forwardhttps://t.co/HswtDiK5EY

— Keystone | Hardware Wallet (@KeystoneWallet) April 14, 2023

Tiket tersebut tidak meminta informasi selain dari yang diperlukan untuk membantu pengguna, termasuk alamat email untuk memfasilitasi balasan. Namun, tiket tersebut termasuk kolom teks bebas, yang beberapa pengguna mungkin telah menggunakannya untuk mengirimkan informasi pribadi yang dapat diidentifikasi. Ini mungkin termasuk "informasi ekonomi atau keuangan, nama, nama belakang, tanggal lahir, nomor telepon, dan alamat pos", tulis pos tersebut, dikutip Cointelegraph.

ConsenSys menekankan bahwa mereka tidak meminta informasi yang dapat mengidentifikasi pelanggan dalam percakapan pelanggan, tetapi beberapa pengguna mungkin telah memberikannya dengan sukarela.

Perusahaan memperkirakan bahwa insiden tersebut dapat memengaruhi hingga 7.000 pengguna MetaMask yang mengajukan tiket dukungan pelanggan.

Sebagai respons terhadap insiden ini, penyedia dompet keras Keystone memperingatkan pengguna MetaMask bahwa beberapa dari mereka mungkin akan menerima lebih banyak email phishing karena penyerang dapat menggunakan database email yang dicuri untuk mencari korban potensial.

ConsenSys mengatakan bahwa mereka telah mengambil langkah untuk menghilangkan akses yang tidak sah di masa depan. Sebagai hasilnya, tiket yang diajukan setelah 10 Februari tidak terpengaruh oleh insiden ini. Perusahaan juga menghubungi Data Protection Commission of Ireland dan Information Commissioner's Office of the United Kingdom untuk melaporkan pelanggaran. Selain itu, penyedia layanan pelanggan pihak ketiga sedang bekerja sama dengan tim keamanan siber dan forensik untuk melakukan investigasi yang lebih rinci terkait insiden ini.

MetaMask mendapat kecaman dari para advokat privasi pada akhir 2022 ketika mereka mengungkapkan bahwa kadang-kadang mereka mencatat alamat IP pengguna. Namun, mereka memperbarui aplikasinya pada Maret untuk memberikan pengguna lebih banyak kontrol atas penyedia mana yang dapat memperoleh informasi ini.