Ledger холодний гаманець зламали! Партнерські компанії витекли дані користувачів, повторюючи історію 2020 року

Ledger холодний гаманець третіх осіб-платіжних провайдерів Global-e зазнав зламу, особисті дані користувачів витекли. ZachXBT оприлюднив, Ledger підтвердив, але наголосив на безпеці коштів та приватних ключів. У 2020 році витекло даних понад 270 000 користувачів, що спричинило фішингові атаки та судові позови. Фахівці з інформаційної безпеки попереджають, що нещодавно слід бути особливо обережними щодо будь-яких підозрілих повідомлень, що вимагають допоміжних фраз або авторизації.

Хто такий Global-e? Чому він став вразливістю у сфері безпеки

(Джерело: Global-e)

Блокчейн-детектив ZachXBT 5 січня повідомив, що партнер Ledger у сфері обробки міжнародних платежів Global-e зазнав витоку даних, що призвело до несанкціонованого доступу до особистих даних деяких користувачів. Ledger завжди був лідером у галузі апаратних гаманців, де користувачі можуть зберігати приватні ключі криптовалют офлайн, що вважається більш безпечним, ніж гарячі гаманці або централізовані біржі. Тому він має широку базу роздрібних та інституційних клієнтів по всьому світу, і будь-які збої у безпеці викликають значний інтерес у криптоспільноті.

Щоб запобігти побоюванням, офіційний представник Ledger підтвердив, що компанія отримала повідомлення від партнера Global-e про несанкціонований доступ до даних замовлень у їхній системі. Global-e виступає як Merchant of Record для міжнародних транзакцій на офіційному сайті Ledger, і у їхній хмарній базі даних зберігається частина інформації клієнтів, які купували на сайті Ledger.

Представник Ledger підкреслив, що цей інцидент торкнувся лише зовнішніх систем електронної комерції, внутрішні платформи, апаратне та програмне забезпечення Ledger залишаються безпечними. Оскільки продукти Ledger використовують самостійне зберігання (Self-custodial), Global-e не має доступу до найважливіших 24 слів мнемоніки, балансу у блокчейні або будь-якої конфіденційної інформації, пов’язаної з цифровими активами. Крім того, цей інцидент не стосується витоку даних кредитних карт.

Ця позиція технічно правильна, але ігнорує більш серйозні ризики. Витеклі імена, електронні адреси та телефони не дозволяють безпосередньо красти кошти, але створюють ідеальний список цілей для цілеспрямованих шахрайств. Злочинці знають, що ці люди володіють холодними гаманцями Ledger, що означає наявність значних криптоактивів, і тому вони стають високовартісною мішенню для атак.

Три слабкі ланки у ланцюгу безпеки

Треті особи-платіжні провайдери: Global-e та інші, що обробляють міжнародні транзакції, мають доступ до даних замовлень і є ціллю для хакерів

Логістичні компанії: витік адрес доставки може призвести до фізичних пограбувань, у 2020 році деякі користувачі вже зазнавали погроз

Системи підтримки клієнтів: недбале управління зовнішніми службами може дозволити соціальну інженерію для отримання даних користувачів

Гіркий досвід витоку 270 000 користувачів у 2020 році

Інцидент витоку даних користувачів через партнерів Ledger знову привернув увагу до історії скандалів компанії. У 2020 році Ledger зазнав серйозного витоку даних, коли хакери успішно зламали маркетингову та електронну комерційну базу даних, що належала компанії, і опублікували особисті дані понад 270 000 користувачів на форумі RaidForums.

У витоку були дуже детальні дані: імена, електронні адреси, номери телефонів, а у деяких випадках — адреси проживання, що викликало масове занепокоєння та невдоволення користувачів. Багато з них отримали цілі потоки фішингових листів і переслідувань. Хоча Ledger тоді запропонував винагороду у біткоїнах за інформацію про зломщиків, компанія все одно стикнулася з колективним позовом, у якому звинувачувалися Ledger і Shopify у недостатньому захисті даних, що поставило користувачів під ризик.

Після витоку 2020 року багато користувачів отримали фішингові листи, що маскувалися під офіційні повідомлення Ledger, з вимогою «оновити прошивку» або «перевірити акаунт», що вводило їх у оману і змушувало вводити 24 слова мнемоніки. Деякі втратили десятки або сотні тисяч доларів у криптовалютах. У найгірших випадках, через витік адрес, користувачі отримували фізичні погрози і змушені були здати холодні гаманці.

Хоча наразі невідомо, чи масштаб цього інциденту з Global-e у Ledger перевищить 2020 рік, без сумніву, він знову підштовхне ринок до перегляду того, як криптокомпанії та їхні сторонні постачальники обробляють особисті дані користувачів. Для компаній, що вважають безпеку ключовою конкурентною перевагою, будь-який витік даних може вплинути на довіру користувачів.

Практичні поради щодо протидії цілеспрямованим фішинговим атакам

Фахівці з інформаційної безпеки наголошують, що хоча кошти на Ledger залишаються в безпеці, витеклі імена та контакти можуть бути використані для цілеспрямованих соціальних інженерних шахрайств. Користувачам слід бути особливо обережними щодо будь-яких підозрілих повідомлень, що вимагають допоміжних фраз або авторизації. Важливо стежити за безпекою ланцюга постачання і бути обережними з фішинговими спробами.

Цілеспрямовані фішингові атаки мають дуже персоналізований характер. Злочинці використовують ваше справжнє ім’я, історію покупок і контакти, щоб видавати себе за офіційних представників Ledger і стверджувати, що ваш гаманець має проблеми безпеки і потребує «термінового втручання». Такі повідомлення набагато більш переконливі, ніж масові спам-розсилки.

Офіційний Ledger ніколи не проситиме користувачів надати допоміжні фрази або приватні ключі. Будь-які листи, смс або дзвінки, що вимагають конфіденційної інформації, — 100% шахрайство. Правильна реакція — ігнорувати підозрілі повідомлення, перевіряти інформацію через офіційний сайт Ledger або зв’язуватися з офіційною підтримкою.

Для користувачів, у яких вже стався витік даних, рекомендується негайно змінити паролі до електронної пошти, пов’язаної з Ledger, увімкнути двофакторну автентифікацію і протягом кількох місяців бути особливо обережними щодо будь-яких контактів, що нібито походять від Ledger. У разі підозрілих повідомлень слід робити скріншоти і повідомляти їх офіційній підтримці Ledger або детективу ZachXBT.