Витік даних Ledger через Global-e: зростання ризиків фішингу та проблем безпеки третіх сторін

Джерело: CryptoValleyJournal Оригінальна назва: Ledger зазнав повторної витоку даних через платіжного провайдера Global-e Оригінальне посилання:

Ledger зазнав витоку даних через платіжного провайдера

Виробник апаратних гаманців Ledger був знову підданий витоку даних. Інцидент стався через стороннього провайдера Global-e, платіжного сервіс-провайдера для компанії. Аналитик блокчейну ZachXBT зробив публічно відомим цю безпекову уразливість і попередив користувачів про зростаючий ризик фішингу.

Global-e підтвердив несанкціонований доступ до особистих даних клієнтів Ledger, включаючи імена та контактну інформацію. Однак компанія не розкрила точну кількість постраждалих користувачів. У первинній заяві Ledger наголосив, що його власна інфраструктура не була скомпрометована. Вразливість безпеки торкнулася виключно хмарних систем Global-e. Фрази відновлення, приватні ключі, баланси гаманців або платіжна інформація не були пошкоджені, оскільки Global-e не має доступу до цих чутливих даних.

Ризик сторонніх провайдерів у центрі дебатів щодо безпеки

Інцидент підкреслює вразливість виробників апаратних гаманців через зовнішніх сервіс-провайдерів. Global-e виявив незвичайну активність у своїй мережі та одразу запровадив контрзаходи. Компанія залучила експертів з криміналістики для дослідження масштабу витоку даних. Аналіз підтвердив, що зловмисники отримали доступ до особистих даних.

Ledger використовує Global-e як партнера з електронної комерції для обробки міжнародних платежів. Такий підхід дозволяє виробнику апаратних гаманців обслуговувати клієнтів у різних регіонах, але створює залежності. Передача платіжних процесів спеціалізованим сервіс-провайдерам є поширеною практикою у галузі. Однак це створює розширену поверхню атаки, оскільки дані клієнтів зберігаються у кількох компаніях.

Вкрадені дані — імена та контактні дані — здаються менш критичними на перший погляд, ніж облікові дані доступу до гаманця. Однак експерти з безпеки попереджають про наслідки. Ці дані дозволяють цілеспрямовані фішингові кампанії, коли зловмисники видають себе за співробітників Ledger і можуть обманом змусити користувачів розкривати фрази відновлення.

Зростання ризику фішингу після витоків даних

Відкриті дані дають кіберзлочинцям основу для складних соціальних інженерних атак. Постраждалі користувачі повинні очікувати збільшення кількості шахрайських електронних листів. Вони професійно оформлені і виглядають легітимно. Зловмисники використовують факт наявності справжніх даних клієнтів для створення довіри.

Ledger вже попереджав після попередніх інцидентів, що компанія ніколи не запитує фрази відновлення, паролі або коди підтвердження. Це базове правило залишається ключовим для захисту цифрових активів. Користувачам слід класифікувати будь-яке повідомлення, яке запитує введення чутливих даних, як шахрайське — незалежно від того, наскільки автентичним воно здається.

Експерти з безпеки рекомендують постраждалим користувачам залишатися напоготові. Це включає ігнорування підозрілих листів, не натискання на посилання з неперевірених джерел і загалом не сканування QR-кодів, що запитують введення фраз відновлення. Крім того, слід активувати двофакторну автентифікацію скрізь, де можливо.

Історія повторюваних інцидентів безпеки у Ledger

Поточний інцидент приєднується до серії витоків даних, що торкнулися Ledger у останні роки. У липні 2020 року стався найсерйозніший на той час витік безпеки. Зловмисники отримали доступ до баз даних електронної комерції та маркетингу компанії і скомпрометували інформацію приблизно з 1,1 мільйона електронних адрес, а також детальні дані з 272 000 клієнтів, включаючи повні імена, номери телефонів і адреси проживання.

Вкрадені дані спочатку продавалися і публічно публікувалися на форумах хакерів у грудні 2020 року. Це спричинило хвилю фішингових кампаній і спроб викупу. Тоді Ledger заявив, що за два місяці закрив 171 фішинговий сайт. Але наслідки виходили далеко за межі цифрових атак. Злочинці використовують відкриті адреси крипто-володарів для фізичних нападів — так званих “ключових атак”. У січні 2025 року зловмисники викрали співзасновника Ledger Девіда Бландда та його дружину з їхнього дому у Франції. Зловмисники вимагали викуп у криптовалютах і відрізали один із пальців Бландда. Французька поліція звільнила пару після кількох днів у полоні. Цей інцидент демонструє, що витоки даних у криптокомпаніях можуть мати смертельні наслідки.

У грудні 2020 року стався ще один інцидент через провайдера електронної комерції Shopify. Там корумповані співробітники незаконно експортували дані транзакцій клієнтів у квітні та червні 2020 року. Позов у рамках колективної позовної заяви проти Ledger і Shopify був відхилений судом Каліфорнії у листопаді 2021 року. У грудні 2023 року зловмисники зламали бібліотеку JavaScript Ledger Connect Kit через атаку на ланцюг поставок. У короткий проміжок часу було викрадено майже $500 000 у користувачів, які взаємодіяли з ураженими децентралізованими додатками. Цей інцидент вперше торкнувся не лише даних клієнтів, а й призвів до прямого фінансового збитку.

Питання довіри та галузеві стандарти

Повторювані інциденти безпеки викликають питання щодо стійкості виробників апаратних гаманців. Ledger послідовно наголошує, що самі апаратні гаманці та приватні ключі, збережені в них, не були скомпрометовані. Це технічно правильно, але недостатньо.

Довгострокові наслідки витоків даних проявляються у тривалих фішингових кампаніях. Постраждалі від витоку 2020 року повідомляють про шахрайські контакти навіть через роки. Дані зберігають свою цінність для злочинців так довго, як постраждалі зберігають криптовалюти.

Для галузі постає питання про відповідні стандарти безпеки для сторонніх провайдерів. Виробники апаратних гаманців повинні не лише захищати свої системи, а й гарантувати, що партнери впроваджують подібні заходи безпеки. Передача платіжних процесів і маркетингових послуг створює залежності, які важко контролювати. Користувачі Ledger стоять перед вибором — продовжувати довіряти компанії. Самі апаратні гаманці залишаються вважаються безпечними — за умови, що користувачі не розкривають свої фрази відновлення. Більший ризик полягає у відкритій ідентичності як власника криптоактивів, яку зловмисники можуть використати для цілеспрямованих кампаній.