WARNING! Хакер слил данные о 300 000 пользователях Ledger в сеть
Хакер слил данные о 300 000 пользователях Ledger в сеть. Компании грозят коллективным судебным иском. Сообщество обвиняет разработчиков аппаратного кошелька Ledger в недостаточном уровне безопасности личных данных
Напомним, что в июне 2020 года хакер взломал базу данных Ledger. А недавно в сети были опубликованы личные всех пользователей. И теперь пострадавшие угрожают компании коллективным иском.
Сначала, как летом объявили представители Ledger, скомпрометированы были 9 500 владельцев аппаратных кошельков для хранения криптовалюты. Однако реальное число пострадавших, судя по данным, опубликованным на хакерских веб-сайтах, составляет порядка 300 тыс. человек.
В Твиттере ведется жаркое обсуждение данного вопроса. Алон Гала, сотрудник отдела кибербезопасности компании Hudson Rock, сообщил, что хакер, совершивший атаку на Ledger в июне, слил всю базу данных.
ALERT: Threat actor just dumped @Ledger's database which have been circling around for the past few months.
— Alon Gal (Under the Breach) (@UnderTheBreach) December 20, 2020
The database contains information such as Emails, Physical Addresses, Phone numbers and more information on 272,000 Ledger buyers and Emails of 1,000,000 additional users. pic.twitter.com/Sv9cQwhuNy
В итоге в сети оказались:
- 1 075 382 email подписчиков информационной рассылки;
- 272 853 email, адресов проживания и номеров телефона заказчиков кошельков.
Утечка, по словам специалиста, представляет опасность для всех, кто фигурирует в списке. С помощью Ledger обычно хранят большие суммы, и теперь их владельцев могут преследовать злоумышленники как в сети, так и в оффлайне.
В своем аккаунте сотрудники Ledger подтвердили, что, судя по первоначальным данным, опубликованный в интернете список действительно касается украденных в июне данных.
Today we were alerted to the dump of the contents of a Ledger customer database on Raidforum. We are still confirming, but early signs tell us that this indeed could be the contents of our e-commerce database from June, 2020.
— Ledger (@Ledger) December 20, 2020
Причем, как стало известно, база данных уже разлетелась по хакерским форумам, и злоумышленники стали одолевать пользователей аппаратного кошелька:
- заваливают спамом;
- отправляют емейлы с просьбой загрузить новое ПО из сомнительных источников;
- от имени Ledger просят сообщить кодовую фразу или перевести биткоины на другой адрес.
С июня компанией ведется активная работа с правоохранительными органами для преследования мошенников. Всего с момента взлома было заблокировано свыше 170 фишинговых ресурсов.
Сейчас уровень недовольства пользователей кошелька настолько возрос, что некоторые в Твиттер пишут о готовности поддержать коллективный судебный иск к Ledger.
Причина проста. Из-за взлома пользователи опасаются за свои биткоины и даже жизнь. В сообществе ходят слухи, что есть высокая вероятность быть похищенным, как это случилось с сингапурским предпринимателем Марком Ченгом в январе.
Люди в растерянности и просто не знают, что делать. Многие специалисты по кибербезопасности предлагают свою помощь, чтобы минимизировать риски и максимизировать безопасность.
Например, сегодня в 12 PM PST/20 UTC стартует трансляция на Ютубе от известного популяризатора блокчейн-технологий с ником Aantonop. И даже если ваша информация не подверглась взлому, можно посмотреть, как сделать ее еще более защищенной.
Подробнее об инциденте
Уязвимость базы данных обнаружена исследователем, участвовавшим в программе Bug Bounty Ledger, 14 июля. Разработчики Ledger быстро отреагировали и устранили ее. Однако при этом выяснилось, что 25 июня во время взлома была похищена личная информация, списки заказов и емейлы клиентов аппаратного кошелька.
Доступ к базе данных был получен по API-ключу. Платежная информация, пароли и средства пользователей при этом не пострадали. Несмотря на заявление Ledger о том, что безопасности биткоинов ничего не угрожает, сейчас видно, что ситуация намного хуже, чем изначально считалось.
По итогам расследования 17 июля компания подала отчет в CNIL, а еще через четыре дня воспользовалась помощью Orange Cyberdefense для оценки ущерба от утечки данных. При этом доказательств, что украденные данные продаются в интернете, найдено не было. Как и фишинговых атак на пострадавших.
Немного истории
Напомним, что это не первая ситуация, связанная с кибератакой на Ledger. Компания позиционировала аппаратный кошелек, как суперзащищенный, который нельзя взломать. В 2018 году 15-летний подросток продемонстрировал в блоге, как взломал модель Ledger Nano S.
Правда, речь шла о бывшем в употреблении кошельке, который можно купить на eBay. Как видно из видео, при определенной модификации для железа легко генерируется новый адрес кошелька с известными взломщику паролями доступа. Затем данные копируют на другой аппаратный кошелек, восстанавливают приватные ключи и изымают криптовалюту.
Интересно, что до этого взлома представители Ledger заявляли, что пользователи могут покупать бывшие в употреблении кошельки, не опасаясь за безопасность средств.
После публикации данных в блоге юного хакера, представители Ledger пофиксили баг, сделав апгрейд прошивки. Но все же неприятный осадок у пользователей кошелька остался.
Компания позиционирует кошелек — как 100% защищенный. В каждый набор с аппаратным кошельком для криптовалюты вложена специальная рекламная листовка с указанием на это.
Как оказалось, это не так. А на фоне событий этой недели понятно, почему сообщество пострадавших на грани подачи иска...
