iCloud云端备份爆安全漏洞｜接一个电话 即损失500万加密货币

iCloud云端备份安全漏洞｜智能手机现已成为人们生活上不可或缺的工具，当我们将越来越多的个人资料放到手机内，自然就会有不法份子对它打起坏主意，而且欺骗使用者的手段更是层出不穷。
日前一名美国男子就打出了一通接往“Apple” 的电话，在数秒间储存在手机内价值数百万港币的加密货币就此消失。

Apple 官方来电、男子一个举动损失＄500 万加密货币

日前，一名居住在美国的男子 Domenic Iacovone 在短时间内收到了多通未接来电，由于其来电显示指出来电者的号码为“Apple Inc.”、亦即是 Apple 官方，他未虞有诈进而回拨号码。

对方在接到 Domenic 的电话后，就声称 Domenic 的 Apple ID 有登入问题，需要以其手机号码接收一个确认 SMS，而当 Domenic 收到 SMS 并为对方提供确认码后，本来存放于其手机加密货币钱包 App《MetaMask》内的加密资产即时全数被转走，当中包括几枚 NFT、以及约 10000 枚 Apecoin，总价值达到 ＄65 万美元、换算即超过＄500 万港币。

MetaMask 重大漏洞、黑客可经 iCloud 盗取助记词

是次 Domenic 被骗巨款之因，其实源于加密货币钱包 MetaMask 的一个安全漏洞。

MetaMask 是目前加密货币市场中最多人使用的虚拟钱包，其保安基础除了一般会使用的密码之外，还包含一组随机生成的“助记词(Recovery Phase)”，如果需要登入钱包，就需要知道这组助记词；但在较早前，就有人在 MetaMask 的 iOS 版本发现漏洞，指其在 iCloud 备份时会连同包含助记词的档案上载，当黑客取得这个档案后就可以进行解密并取得助记词。

但 Domenic 犯的最大错误，却是为黑客提供了 Apple ID 的认证码，此举直接让黑客可以取得 iCloud 的存取权，继而盗取当中的所有资料、只不过刚好包括了 MetaMask 内的加密资产。

Domenic 的巨额加密资产可以取回的机会微乎其微，但这次的教训亦足以让他人提高警觉 － 即使各位没持有任何加密资产，都要切记一点：在绝大多数情况之下，任何机构的职员都不会要求使用者以口头提供 SMS 认证码，如果有人要求你这样做，他极有可能是骗子。