Nasilają się skutki drugiego dużego wycieku danych z firmy, która obiecała bezpieczniejszy sposób przechowywania kryptowalut niż na giełdowych hot walletach.
21 grudnia haker ujawnił na publicznych forach wrażliwe dane aż 270 000 klientów Ledger:
Te dane, w tym adresy e-mail, numery telefonów, a nawet adresy fizyczne, są obecnie gromadzone przez oszustów, którzy rozpoczynają atak.
SCAMMERS ARE GOING WILD
— Ivan on Tech (@IvanOnTech) December 21, 2020
Sending fake emails pretending to be Ledger apologizing for the data leak and phishing you to install "latest version"
BEWARE!!
SIM swapping
Ataki typu SIM swapping stały się realnym i aktualnym zagrożeniem ze względu na charakter wycieku danych. Niektórzy użytkownicy już zgłaszają, że byli celem tego oszustwa po włamaniu do bazy klientów Ledger.
@ledger is hacked, and the next day I have my sim hacked! WTF. Its currently happening. No service on my phone, they got into authenticator app and are requesting password changes to several sites including @coinbase. #crypto Not even sure what to do.
— JimboChewdip (@jimbochewdip) December 22, 2020
SIM swapping ma miejsce, gdy oszust kontaktuje się z dostawcą usług mobilnych ofiary w celu przekonania pracownika centrum obsługi telefonicznej, że rzeczywiście sam jest ofiarą wykorzystującą swoje dane osobowe.
Atakujący następnie prosi dostawcę o aktywację nowej karty SIM połączonej z numerem telefonu ofiary na nowym telefonie, który posiada. Dzięki temu może uzyskać dostęp do mechanizmu dwuetapowej autoryzacji 2FA używanej przez urządzenia Ledger.
Oprócz oczywistych oszustw phishingowych, które nękają użytkowników Ledger od czasu pierwszego incydentu naruszenia bezpieczeństwa z czerwca 2020 r., istnieje jeszcze jedno zagrożenie atakami dla okupu, ponieważ tym razem wyciekły również adresy fizyczne.
Kontakt z Ledger nie daje póki co oczekiwanych rezultatów. Firma odmawia pomocy swoim klientom, którzy stracili środki z powodu jej zaniedbania lub też z innych powodów. Wydaje się, że w miarę nasilania się reakcji społeczności, Ledger szybko traci na wiarygodności.
Ledger: nie będzie żadnych zwrotów
W rozmowie z redakcją Decrypt, dyrektor generalny Ledger, Pascal Gauthier, powiedział, że firma nie zwróci środków klientom, którym dane osobowe wyciekły do Internetu.
„W przypadku naruszenia danych na taką skalę w tak małej firmie nie zwrócimy kosztów milionowi użytkowników wszystkich urządzeń. To po prostu niemożliwe. Zabiłoby to firmę”.
Gauthier napisał na Twitterze, że środki na urządzeniach Ledger są nadal bezpieczne. Czy rzeczywiście tak jest? Wydaje się to mało prawdopodobne w związku z doniesieniami o rzekomych, fałszywych transakcjach nieautoryzowanych przez właścicieli, które cytowaliśmy wyżej.
Sprawa zyskuje na rozgłosie. Ledger do tej pory nie przeprosił użytkowników.