Trezor Kripto Cüzdan Sağlayıcısında Güvenlik Açığı Ortaya Çıktı

Uzun yıllardır soğuk cüzdan hizmeti sunan Trezor, destek formundaki bir güvenlik açığı nedeniyle bazı kullanıcılarına e-posta gönderildiğini ancak bu sorunun çözüldüğünü bildirdi.

“E-posta adresleri çalınmadı”

Trezor’un web sitesindeki destek formunda bir açık keşfeden dolandırıcılar veya siber saldırganların, daha önce başka kaynaklardan elde ettikleri e-posta adreslerine mesajlar gönderdikleri ifade edildi. Trezor, sistemlerinde herhangi bir e-posta adresinin çalınmadığını, dolayısıyla dolandırıcıların bu bilgileri başka yerlerden temin ettiğini vurguladı.

Olay nasıl gerçekleşti?

Dolandırıcılar, Trezor’un web sitesindeki yardım formuna yazılan içeriklerin, şirketin otomatik geri dönüş e-postasında da yer aldığını fark ettiler.

Bir kullanıcı Trezor’dan destek talep ettiğinde, yazdığı içerikler şirketin yanıt e-postasında da yer alıyordu.

Dolandırıcılar, oltalama (phishing) linklerini bu formda yer alan talebe ekleyerek Trezor’un yardım talep formunu doldurdular.

Sonuç olarak, bu form dolandırıcıların yazdığı içeriklerle birlikte, gerçek adres sahiplerine ulaştı.

“Asla göndermeyin”

Formda, aslında yardım talep etmeyen kullanıcılardan bu linke tıklamaları ve anahtar kelimelerini göndermeleri istendi.

Bu tuzağa düşen müşterilerin olup olmadığı bilinmiyor; ancak Trezor, hatanın giderildiğini vurguladı ve müşterilerine kimseye şifrelerini kesinlikle göndermemeleri konusunda uyarıda bulundu.