Apple iCloud’un uygulama verilerini yedekleme işleminde büyük bir güvenlik açığı olduğu ortaya çıktı. Popüler kripto para cüzdanı verilerini yedekleyen iCloud, bir yatırımcının 650 bin dolar çaldırmasına sebep oldu.
Kripto para birimine yapılan yatırımlar hızla artarken, kripto hırsızlığı olayları da artıyor. Kripto cüzdanı MetaMask, iCloud yedeklemelerinin potansiyel bir kimlik avı saldırısına kurban gidebileceği uyarısında bulundu.
iCloud ve MetaMask arasındaki açık 650 bin dolara mal oldu
MetaMask, 21 milyondan fazla yatırımcı tarafından kripto para birimlerini depolamak ve dijital varlıklarını yönetmek için kullanılan popüler bir sıcak cüzdan. Fakat Apple’ın son açığı, Domenic Iacovone isimli bir yatırımcının 650 bin dolarlık kripto para ve NFT’sinin saniyeler içinde çalınmasına yol açtı.
Yeni dolandırıcılık, NFT ve kripto dolandırıcılığı analisti olan Serpent adlı Twitter kullanıcısından geliyor. İddiaya göre 15 Nisan tarihinde Domenic Iacovone, Apple Kimliği parolasını sıfırlamasını isteyen SMS aldı. Ardından kısa süre içerisinde Apple Inc ile bağlantılı olan bir telefondan çağrı aldı.
Dolandırıcılar, Domenic Iacovone’in Apple kimliğinde şüpheli etkinlik görüldüğünü ve kendisine gelen doğrulama kodunu söylemesini istedi. Arayan kişinin Apple yetkilisi olduğunu düşünen Iacovone ise SMS’ten gelen kodu söyledi.
Altı haneli doğrulama kodunu verdikten sonra dolandırıcılar aramayı kapattı ve birkaç dakika içinde kurbanın MetaMask cüzdanını soydu. Analiste göre 402 bin 988 dolarlık 132 Ethereum ve 252 bin 400 dolarlık Tether (USDT) çalındı.
Hırsızlar, İki Faktörlü Kimlik Doğrulama (2FA) kodu da dahil olmak üzere Apple Kimliği ayrıntılarına sahip oldukları için iCloud’daki açıktan kolayca yararlandılar. Bu, Iacovone’nin saniyeler içerisinde Apple Kimliği parolasını çaldırdığı anlamına geliyordu.
Apple iCloud güvenlik açığından nasıl korunurum?
Dijital varlıklarınızı bu tür zorlu saldırılardan korumak için Ayarlar > Profil > iCloud > Depolamayı Yönet > Yedeklemeler yoluyla MetaMask’i iCloud yedeklemelerinden hariç tuttuğunuzdan emin olmalısınız.
İki faktörlü kimlik doğrulama kodu, çağrı, e-posta veya SMS ne kadar ikna edici görünse de kimseyle paylaşılmaması gereken şifreler içerir. Resmi temsilciler dahil hiç kimse bu şifreleri sizden istemez. Ek olarak kripto para sahibiyseniz ve aktif olarak ticaret yapmıyorsanız, varlıklarınızı sıcak cüzdan yerine soğuk bir cüzdanda tutmayı tercih edebilirsiniz.
Siz bu konu hakkında ne düşünüyorsunuz? Görüşlerinizi SDN Forum‘da veya yorumlarda bizlerle paylaşmayı unutmayın!
{{user}} {{datetime}}
{{text}}