Wyciek z Ledger | Ataki zaczęły się na dobre, Ledger nie zamierza brać odpowiedzialności

9 200

Nasilają się skutki drugiego dużego wycieku danych z firmy, która obiecała bezpieczniejszy sposób przechowywania kryptowalut niż na giełdowych hot walletach.

21 grudnia haker ujawnił na publicznych forach wrażliwe dane aż 270 000 klientów Ledger:

Te dane, w tym adresy e-mail, numery telefonów, a nawet adresy fizyczne, są obecnie gromadzone przez oszustów, którzy rozpoczynają atak.

SIM swapping

Ataki typu SIM swapping stały się realnym i aktualnym zagrożeniem ze względu na charakter wycieku danych. Niektórzy użytkownicy już zgłaszają, że byli celem tego oszustwa po włamaniu do bazy klientów Ledger.

SIM swapping ma miejsce, gdy oszust kontaktuje się z dostawcą usług mobilnych ofiary w celu przekonania pracownika centrum obsługi telefonicznej, że rzeczywiście sam jest ofiarą wykorzystującą swoje dane osobowe.

Atakujący następnie prosi dostawcę o aktywację nowej karty SIM połączonej z numerem telefonu ofiary na nowym telefonie, który posiada. Dzięki temu może uzyskać dostęp do mechanizmu dwuetapowej autoryzacji 2FA używanej przez urządzenia Ledger.

Oprócz oczywistych oszustw phishingowych, które nękają użytkowników Ledger od czasu pierwszego incydentu naruszenia bezpieczeństwa z czerwca 2020 r., istnieje jeszcze jedno zagrożenie atakami dla okupu, ponieważ tym razem wyciekły również adresy fizyczne.

Kontakt z Ledger nie daje póki co oczekiwanych rezultatów. Firma odmawia pomocy swoim klientom, którzy stracili środki z powodu jej zaniedbania lub też z innych powodów. Wydaje się, że w miarę nasilania się reakcji społeczności, Ledger szybko traci na wiarygodności.

Ledger: nie będzie żadnych zwrotów

W rozmowie z redakcją Decrypt, dyrektor generalny Ledger, Pascal Gauthier, powiedział, że firma nie zwróci środków klientom, którym dane osobowe wyciekły do Internetu.

„W przypadku naruszenia danych na taką skalę w tak małej firmie nie zwrócimy kosztów milionowi użytkowników wszystkich urządzeń. To po prostu niemożliwe. Zabiłoby to firmę”.

Gauthier napisał na Twitterze, że środki na urządzeniach Ledger są nadal bezpieczne. Czy rzeczywiście tak jest? Wydaje się to mało prawdopodobne w związku z doniesieniami o rzekomych, fałszywych transakcjach nieautoryzowanych przez właścicieli, które cytowaliśmy wyżej.

Sprawa zyskuje na rozgłosie. Ledger do tej pory nie przeprosił użytkowników.

Przeczytaj również:

Komentarze