Ситуация развивается не очень приятно. Как отметили представители компании летом, хакеры раскрыли далеко не все адреса проживания и телефонные номера клиентов, а лишь приблизительно 9500 из них. Сейчас же оказалось, что жертвами раскрытия данных стали сотни тысяч людей — а это уже вызывает вопросы как минимум к ранним комментариям сотрудников фирмы.

Соответственно, сейчас любой желающий может получить доступ к базе данных пользователей компании, в распоряжении которых скорее всего есть аппаратный кошелёк. Это создаёт риски для физической безопасности владельцев криптовалюты. При этом руководитель Ledger утверждает, что вероятность подобного очень мала. Скорее всего, мошенники ограничатся исключительно отправкой писем — пусть и не самого приятного содержания.

И они это уже делают.

Утечка данных из Ledger

На сайте Raidforums были опубликованы имена, физические адреса и номера телефонов огромного количества клиентов Ledger. По предварительным подсчетам это более миллиона электронных адресов и более 270 тысяч физических адресов тех, кто когда-либо пользовался услугами компании и заказывал устройства в свой город.

форум хакер Ledger

Пост на форуме от пользователя Burgulema111 со слитыми базами данных Ledger

Портал haveibeenpwned уже пометил более 69 процентов электронных адресов как скомпрометированные с момента самой хакерской атаки.

Твиттер сообщение Ledger

Твит Have I Been Pwned

Представители Ledger «осведомлены» об инциденте, о чем было заявлено в официальном Твиттер-аккаунте компании. Они все еще занимаются «подтверждением» того, что опубликованная информация действительно имеет отношение к их e-commerce базе данных, пострадавшей от взлома в конце июля.

Ledger также опубликовала извинения перед своими клиентами.

Сказать, что мы искренне сожалеем об этой ситуации, будет большим преуменьшением. Мы очень серьезно относимся к конфиденциальности. Избегать подобных ситуаций — главный приоритет для всей нашей компании, и мы извлекли ценные уроки из этой ситуации, которые сделают Ledger ещё более безопасной.

Ledger кошелек криптовалюта

Ledger

Напомним, хакерская атака была нацелена на так называемую e-commerce базу данных Ledger. Это означает, что в открытом доступе оказалась только контактная информация клиентов и детали заказов продукции производителя кошельков. При этому финансовая информация, фразы для восстановления кошельков, приватные ключи или прочее подобное хакерам недоступны. Соответственно, средствам пользователей ничего не грозит до тех пор, пока они не поделятся с кем-то своей сид-фразой из 24 слов. Делать это, конечно же, нельзя.

Злоумышленники смогли получить доступ к базе данных с помощью ныне отключенного API-ключа.

Как видим, любая финансовая информация хакерам недоступна, однако это не означает, что в будущем затронутые пользователи Ledger не могут оказаться очередными жертвами злоумышленников. В компании отметили, что слитые контактные данные будут активно использоваться в фишинговых атаках. Мошенники используют электронных адреса для рассылки фейковых писем якобы от лица Ledger с просьбами раскрыть свои пароли, приватные ключи или другие важные данные. Если вам придет одно из таких писем — проигнорируйте требования и удалите её. Официальные представители Ledger или любого другого сервиса никогда не будут просить вас раскрыть нечто подобное. Также настоятельно рекомендуем не скачивать любые подозрительные файлы и не переходить по подозрительным ссылкам.

Мы уже столкнулись с несколькими письмами от мошенников, которые сообщают о внезапной "блокировке блокчейн-адреса". Для избавления от проблем они просят подтвердить личные данные, пройдя по указанной ссылке. Ещё раз напоминаем, что переходить по любым ссылкам нельзя — ради собственной же безопасности.

Некоторым пользователям повезло меньше. В частности, на Реддите уже рассказали о получении письма, в котором автор требует деньги. Последний утверждает, что живёт в том же городе, поэтому в теории может «заехать в гости». Чтобы этого не произошло, мошенник просит отправить 500 долларов на его кошелёк. В противном случае он обещает применить насилие.

Письмо владельцу Ledger от вымогателя

Письмо владельцу Ledger от вымогателя

Как накануне отметил руководитель Ledger Паскаль Готье, компания не будет возмещать ущерб пользователям. Вот его цитата, которую приводит Decrypt.

Когда происходит утечка данных такого масштаба для настолько небольшой компании, мы не возмещаем ущерб миллионам пользователей всех устройств, ведь это просто невозможно. Это просто убило бы компанию. Вместо этого мы предпочитаем смотреть в будущее. Сейчас Ledger инвестирует много времени и денег в обеспечение нового уровня надёжности и продуктов, которые обеспечат большую безопасность для наших пользователей.

Также он сообщил, что мошенники с базами данных на руках вряд ли будут ехать домой к пользователям аппаратных кошельков. По словам Паскаля, всё закончится исключительно вымогательством в цифровом виде.

Это просто онлайн-мошенничество с целью напугать вас. Это именно то, что работает для злоумышленников. Фактически приехать в чей-то дом — очень дорогое занятие.

Событие прокомментировал представитель проекта Casa Джеймсон Лопп.

Взлом был неизбежен. По сути информация стремится быть свободной. Это повторяющаяся проблема, которую вы видите на любой платформе, хранящей большие объемы информации — и особенно ценную идентификацию личности. Нет причин ожидать, что такие вещи сойдут на нет.

Лопп также полагает, что хакеры действительно могут оказывать физическое воздействие на владельцев криптовалют. Однако для этого они прежде всего проведут анализ состояния отдельно взятых людей на предмет наличия квартир и дорогих автомобилей. То есть ждать прибытия преступников к своему дому просто из-за покупки леджера обычным людям не стоит, считает Джеймсон.

Также Лопп считает, что пользователям не стоит обвинять компанию в потере данных, ведь они сами ими поделились. Если бы люди хотели остаться анонимными, им стоило бы использовать почтоматы или даже адреса компаний для получения посылок.

Достаточно забавно, что люди требуют вернуть свои деньги из-за ситуации. В продуктах Ledger нет ничего плохого. Насколько нам известно, их устройства по-прежнему защищены. Проблема безопасности связана с людьми, которые используют их продукты. Но это совсем другая проблема.

Джеймсон Лопп

Джеймсон Лопп


Мы считаем, что ситуация в любом случае получилась неприятной. Всё же видеть свои личные данные в открытом доступе вряд ли кто-то захочет, особенно если этот человек покупал аппаратный кошелёк для большей безопасности собственных средств.

С другой стороны, такие утечки случаются постоянно, к тому же найти кого-то в интернете при необходимости и так не составляет труда. Поэтому сейчас прежде всего стоит позаботиться именно об интернет-безопасности. Мы вновь настойчиво рекомендуем не переходить по каким-либо ссылкам, хранить собственную сид-фразу из 24 слов и игнорировать любые угрозы в письмах.

За другими новостями следите у нас в крипточате миллионеров. Также заглядывайте в Яндекс Дзен, где появляются статьи, которых нет на сайте.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУТ ЕЩЕ БОЛЬШЕ ИНТЕРЕСНЫХ НОВОСТЕЙ!