Das Blockchain-basierte Metaverse-Unternehmen The Sandbox hat seine Benutzer vor einer Sicherheitsverletzung durch eine Malware-Anwendung gewarnt.
Laut dem offiziellen Blogbeitrag gelang es einem unbefugten Dritten, sich Zugang zum Computer eines seiner Mitarbeiter zu verschaffen und die gefundenen Informationen zu verwenden, um eine E-Mail zu versenden, die fälschlicherweise behauptete, von The Sandbox zu stammen. Seine Aussage lautete:
„Wir haben die Konten und den Zugriff des Mitarbeiters auf The Sandbox gesperrt, den Laptop des Mitarbeiters neu formatiert und alle zugehörigen Passwörter zurückgesetzt, einschließlich der Anforderung einer Zwei-Faktor-Authentifizierung. Wir haben keine weiteren Auswirkungen festgestellt.“
Inhaltsverzeichnis
Sicherheitslücke
Die Sandbox erklärte, dass die Sicherheitslücke, die erstmals am 26. Februar identifiziert wurde, es dem Dritten ermöglichte, auf mehrere E-Mail-Adressen zuzugreifen, an die er dann eine Nachricht schickte, die fälschlicherweise vorgab, vom Unternehmen zu stammen.
Die fragliche E-Mail, die mit Malware-Hyperlinks geladen war, trug den Titel „The Sandbox Game (PURELAND) Access“. Dies ermöglichte es dem Exploiter, Malware aus der Ferne auf dem Computer eines Benutzers zu installieren und ihm die Kontrolle über den Computer sowie Zugriff auf die persönlichen Daten des Benutzers zu gewähren.
Das Unternehmen warnte vor möglichen Phishing-Angriffen und forderte sie auf, nicht auf einen Hyperlink in der Phishing-E-Mail oder andere verdächtige Links zu klicken, um zu verhindern, dass Malware auf ihren Computern installiert wird. Außerdem wurde den Benutzern empfohlen, ihre Passwörter zu stärken und eine Zwei-Faktor-Authentifizierung zu implementieren.
Die Sandbox stellte jedoch klar, dass der Zugriff des Dritten auf den Computer eines einzelnen Mitarbeiters beschränkt war, auf den über eine Malware-Anwendung zugegriffen wurde. Keine anderen Dienste oder Konten von The Sandbox wurden verletzt.
Bisher wurden alle Empfänger per E-Mail benachrichtigt und die kompromittierten Passwörter des Mitarbeiterkontos zurückgesetzt. Das Team überwacht derzeit die Situation und arbeitet an der Verbesserung der entsprechenden Sicherheitsrichtlinien und -praktiken.
Zügellose Phishing-Angriffe
Die neueste Entwicklung kommt Tage nach Trezor gewarnt seine Benutzer über einen aktiven Phishing-Angriff zum Diebstahl von Geldern, indem er sie dazu bringt, die Wiederherstellungsphrase der Brieftasche auf einer gefälschten Website einzugeben, die der des Hardware-Kryptowährungs-Wallet-Anbieters ähnelt.
Der Rivale Ledger erlitt im Jahr 2020 einen massiven Datenverstoß. Die Täter ließen die persönlichen Daten von über 270.000 Kunden öffentlich durchsickern.
.
