WARNING! Хакер слил данные о 300 000 пользователях Ledger в сеть

Хакер слил данные о 300 000 пользователях Ledger в сеть. Компании грозят коллективным судебным иском. Сообщество обвиняет разработчиков аппаратного кошелька Ledger в недостаточном уровне безопасности личных данных

Напомним, что в июне 2020 года хакер взломал базу данных Ledger. А недавно в сети были опубликованы личные всех пользователей. И теперь пострадавшие угрожают компании коллективным иском.

Сначала, как летом объявили представители Ledger, скомпрометированы были 9 500 владельцев аппаратных кошельков для хранения криптовалюты. Однако реальное число пострадавших, судя по данным, опубликованным на хакерских веб-сайтах, составляет порядка 300 тыс. человек.

В Твиттере ведется жаркое обсуждение данного вопроса. Алон Гала, сотрудник отдела кибербезопасности компании Hudson Rock, сообщил, что хакер, совершивший атаку на Ledger в июне, слил всю базу данных.

В итоге в сети оказались:

  • 1 075 382 email подписчиков информационной рассылки;
  • 272 853 email, адресов проживания и номеров телефона заказчиков кошельков.

Утечка, по словам специалиста, представляет опасность для всех, кто фигурирует в списке. С помощью Ledger обычно хранят большие суммы, и теперь их владельцев могут преследовать злоумышленники как в сети, так и в оффлайне.

В своем аккаунте сотрудники Ledger подтвердили, что, судя по первоначальным данным, опубликованный в интернете список действительно касается украденных в июне данных.

Причем, как стало известно, база данных уже разлетелась по хакерским форумам, и злоумышленники стали одолевать пользователей аппаратного кошелька:

  • заваливают спамом;
  • отправляют емейлы с просьбой загрузить новое ПО из сомнительных источников;
  • от имени Ledger просят сообщить кодовую фразу или перевести биткоины на другой адрес.

С июня компанией ведется активная работа с правоохранительными органами для преследования мошенников. Всего с момента взлома было заблокировано свыше 170 фишинговых ресурсов.

Сейчас уровень недовольства пользователей кошелька настолько возрос, что некоторые в Твиттер пишут о готовности поддержать коллективный судебный иск к Ledger.

Причина проста. Из-за взлома пользователи опасаются за свои биткоины и даже жизнь. В сообществе ходят слухи, что есть высокая вероятность быть похищенным, как это случилось с сингапурским предпринимателем Марком Ченгом в январе.

Люди в растерянности и просто не знают, что делать. Многие специалисты по кибербезопасности предлагают свою помощь, чтобы минимизировать риски и максимизировать безопасность.

Например, сегодня в 12 PM PST/20 UTC стартует трансляция на Ютубе от известного популяризатора блокчейн-технологий с ником Aantonop. И даже если ваша информация не подверглась взлому, можно посмотреть, как сделать ее еще более защищенной.

Подробнее об инциденте

Уязвимость базы данных обнаружена исследователем, участвовавшим в программе Bug Bounty Ledger, 14 июля. Разработчики Ledger быстро отреагировали и устранили ее. Однако при этом выяснилось, что 25 июня во время взлома была похищена личная информация, списки заказов и емейлы клиентов аппаратного кошелька.

Доступ к базе данных был получен по API-ключу. Платежная информация, пароли и средства пользователей при этом не пострадали. Несмотря на заявление Ledger о том, что безопасности биткоинов ничего не угрожает, сейчас видно, что ситуация намного хуже, чем изначально считалось.

По итогам расследования 17 июля компания подала отчет в CNIL, а еще через четыре дня воспользовалась помощью Orange Cyberdefense для оценки ущерба от утечки данных. При этом доказательств, что украденные данные продаются в интернете, найдено не было. Как и фишинговых атак на пострадавших.

Немного истории

Напомним, что это не первая ситуация, связанная с кибератакой на  Ledger. Компания позиционировала аппаратный кошелек, как суперзащищенный, который нельзя взломать. В 2018 году 15-летний подросток продемонстрировал в блоге, как взломал модель Ledger Nano S.

 

Правда, речь шла о бывшем в употреблении кошельке, который можно купить на eBay. Как видно из видео, при определенной модификации для железа легко генерируется новый адрес кошелька с известными взломщику паролями доступа. Затем данные копируют на другой аппаратный кошелек, восстанавливают приватные ключи и изымают криптовалюту.

Интересно, что до этого взлома представители Ledger заявляли, что пользователи могут покупать бывшие в употреблении кошельки, не опасаясь за безопасность средств.

После публикации данных в блоге юного хакера, представители Ledger пофиксили баг, сделав апгрейд прошивки. Но все же неприятный осадок у пользователей кошелька остался.

Компания позиционирует кошелек — как 100% защищенный. В каждый набор с аппаратным кошельком для криптовалюты вложена специальная рекламная листовка с указанием на это.

Как оказалось, это не так. А на фоне событий этой недели понятно, почему сообщество пострадавших на грани подачи иска...