Doszło do wycieku danych tysięcy użytkowników, którzy zdecydowali się na portfel sprzętowy firmy Trezor. Wystawia ich to na potencjalne, lecz bardzo prawdopodobne ataki phishingowe. Firma (nieco poniewczasie?) ostrzega, by zachowali szczególną czujność.
Jak poinformował Trezor na swoim blogu, doszło do „nieautoryzowanego dostępu”, który uzyskała „strona trzecia”. Chodzi przy tym o informacje kontaktowe – podkreślono, że środki zgromadzone w portfelach są bezpieczne. Wspomniana „strona trzecia” zdołała jednak dobrać się do danych klientów, którzy zwracali się do serwisu pomocy technicznej firmy od grudnia 2021 r.
A którzy teraz powinni mieć się na baczności, gdy skontaktuje się z nimi ktoś pragnący im pomóc…
Zobacz też: Microsoft przyznaje: tydzień temu się do nas włamano. Winni „państwowi…
„Unauthorised third-party” has entered the chat
Firma zaznacza, że wyciek danych pozostaje „niepotwierdzony” – jednak równie niepotwierdzone jest w tej sytuacji bezpieczeństwo użytkowników, stąd też ostrzeżenie. Incydent miał nastąpić we środę, 17 stycznia 2024 r., około g. 20:20 czasu środkowoeuropejskiego.
Trezor przyznaje, że nie wie dokładnie, w jaki sposób go przeprowadzono, miał on bowiem nastąpić za pośrednictwem poddostawcy, z którego usług korzysta. Obydwie firmy mają „prowadzić śledztwo” oraz „pozostawać w kontakcie”. Nie sposób oprzeć się podejrzeniu, że realnie słowa te oznaczają przyznanie się do niewiedzy.
Więcej szczegółów firma podaje w cytowanym wyżej wpisie ze swojego bloga.
Póki co, doszło już do 41 prób wyłudzenia ze strony nieuczciwego aktora, który próbował kontaktować się z użytkownikami – naturalnie z przyziemnymi intencjami. Łącznie wyciek mógł dotknąć ponad 66 tys. osób – dane kontaktowe tylu znajdowały się w bazie danych, do której dostęp został skompromitowany.
Firma Trezor twierdzi, że o wszystkim otwarcie i uczciwie informuje. To z pewnością należy docenić. Mniej jasne jest, czemu o włamaniu poinformowano dopiero po dwóch dniach. Nie sposób jednak wykluczyć, że tyle czasu zajęło poinformowanie osób bezpośrednio dotkniętych.
Zobacz też: Fala chłodu w sieci bitcoina. Gwałtowny spadek hash rate na trzy miesiące przed…
Nie pierwsza wtopa – acz Trezor tu niejedyny
Najnowsze fiasko, jakkolwiek Trezor nie jest (wedle aktualnie dostępnych danych) jego bezpośrednim winowajcą, niestety wpisuje się w długą litanię incydentów dotyczących portfeli sprzętowych.
Zaledwie latem ubiegłego roku ten sam Trezor przyznał, że klucze prywatne portfeli mogą być podatne na ataki hakerskie. Same zabezpieczenia jego portfeli też bynajmniej nie są idealne. Trzeba natomiast przyznać, że (jak dotąd przynajmniej) nie przyłapano tej firmy na umieszczaniu backdoorów w oprogramowaniu – tak jak to raczyła czynić konkurencja.
Nie oznacza to naturalnie, że portfele sprzętowe same w sobie są z definicji nieprzydatne. Jednak zawierzanie swoich kryptoaktywów – zasobu zdecentralizowanego i (optymalnie) niekontrolowanego przez żaden podmiot – produktom operującym wedle logiki scentralizowanej, nad którymi użytkownik nie ma faktycznej kontroli, wydaje się niekiedy mijać się z celem.
Z konieczności bowiem pociąga to za sobą nieodzowność zaufania producentowi. W jaki sposób koresponduje to z ideą obrotu kryptowalutowego, w którym chodzi właśnie o wyeliminowanie potrzeby ufania pośrednikom czy brokerom?
Może Cię zainteresować:
