Temmuz ayında Ledger’in güvenlik ihlalinden büyük olasılıkla sorumlu olan bilgisayar korsanı, geçtiğimiz günlerde telefon numaraları ve fiziksel adresler de dahil olmak üzere 270.000’den fazla müşterinin kişisel bilgilerini ifşa eden büyük miktarda veriyi attı. Sızıntı ayrıca, şirketin bülten hizmetine kaydolan Ledger cüzdan sahipleri ve müşterilerin 1 milyon e-postasını da içeriyordu..
Olayın neden olduğu kargaşanın ortasında Ledger, kullanıcıların meydana gelebilecek herhangi bir kayıp için geri ödeme yapmak yerine güvenlik altyapısını iyileştirmeye odaklandığını söylüyor. Bu arada, etkilenen bazı müşterilerin, şirket aleyhine toplu dava şeklinde yasal işlem başlatmayı düşündükleri bildiriliyor..
Ledger müşteri veri sızıntısı ayrıca, daha fazla Müşterinizi Tanıyın uyumluluk protokollerinin uygulanmasına karşı yapılan tartışmalar için taze yem sunuyor; eleştirmenler, bu tür önlemlerin, kritik kişisel verileri açığa çıkarmayı amaçlayan hedefli siber saldırıları teşvik ettiğini savunuyor..
270.000’den fazla kişisel hesap detayı ele geçirildi
Belirtildiği gibi, Temmuz ayında Ledger e-ticaret veritabanını ihlal etmekten sorumlu olduğu tahmin edilen bilgisayar korsanı, etkilenen binlerce kullanıcının kişisel bilgilerini çevrimiçi olarak attı. Şirket, kullanıcı verilerinin daha iyi korunmasını sağlamadığı ve ilk ihlalin kapsamını küçümsediği için sosyal medyada suçlandı. O sırada, donanım cüzdanı üreticisi, güvenlik ihlalinden yalnızca 9.500 müşterinin etkilendiğini açıkladı..
Rapor edilen etkilenen kişi sayısındaki eşitsizliği ele alan Ledger Veriliş 21 Aralık tarihli bir açıklama, sızıntının yılın başlarında analiz edebileceğinden daha fazla malzeme içerdiğini ilan etti. Ancak şirket, müşteri fonlarının güvende kaldığını onaylayarak şunları ekledi: “Bu veri ihlalinin donanım cüzdanlarımız, uygulama veya fonlarınız üzerinde hiçbir bağlantısı veya etkisi yoktur. Kripto varlıklarınız güvende. Gerçekten ve içtenlikle üzüntü verici olsa da, bu ihlal yalnızca e-ticaretle ilgili bilgilerle ilgilidir. “
Olaya Twitter üzerinden yanıt veren Ledger CEO’su Pascal Gauthier dikkat çekti sızıntının artan siber saldırı tehdidinin bir göstergesi olduğu. Gauthier, Peter McCormack ile What Bitcoin Did podcast’inde yer alıyor yorum yaptı ihlalin niteliği üzerine, şirketin e-ticaret yığınındaki bir hatanın sonucu olduğunu belirterek.
“Harita istemcisinde yanlış yerleşimlerde kodlanmış veritabanını mağazadan içe aktarmak için kodlanmış yanlış bir API anahtarıdır ve bu nedenle kodlanmaması gereken yerde kodlanmış ve veritabanını basit bir saldırıya maruz bırakmıştır. “Gauthier’i açıkladı.
Sızıntıya verilen tepkilerin ortasında, bazı siber güvenlik uzmanları, olayın, kullanıcı verilerini depolamada veritabanı yöneticilerinin şifreleme uygulamasının eksikliğine bir başka işaret olduğunu vurguladı. Ledger CEO’su, API anahtarlarındaki şifreleme eksikliğine değindi ve bunun dürüst bir hata olduğunu ve API anahtarlarını hash etmeyerek müşteri güvenliğini tehlikeye atmaya yönelik kasıtlı bir girişim olmadığını ekledi..
Sızıntıyla ilgili olarak, donanım cüzdanı üreticisi NGRAVE’nin CEO’su Ruben Merre, olayın güvenlik kaygıları pahasına kripto şirketleri arasında hızlı büyümeyi yansıttığını belirtti. Şöyle ekledi: “Pek çok çevrimiçi platform saldırıya uğruyor ve bunun nedeni bilgisayar korsanlarının becerisi olması gerekmiyor. Çoğu zaman, platformlar, uygulamayı bırakın, yalnızca kötü bir güvenlik yönetişimi sağlar. “
“Scareware” ve diğer risk faktörleri
Veri sızıntısı, artık Ledger kullanıcılarının e-postalarıyla donanmış sahte aktörler, cüzdanın müşterilerini 24 kelimelik başlangıç cümlesini ifşa etmeleri için kandırmaya çalışırken, başka bir kimlik avı saldırısı turunu tetikledi. Veri dökümünden önce bile, bu tür sahte e-postalar düzenli bir olaydı..
Bununla birlikte, telefon numaralarının ve kişisel adreslerin açığa çıkması potansiyel olarak Ledger kullanıcılarını daha fazla risk faktörüne açar. Bazı kullanıcılar, muhtemelen iki faktörlü yetkilendirme protokollerini tehlikeye atmaya çalışan bir bilgisayar korsanıyla numaralarına SIM değiştirme saldırıları girişiminde bulunduklarını bildirdi..
Kripto yatırımcıları geçmişte SIM takas saldırılarının hedefi olmuştu. Haziran ayında, Richard Yuan Li, 20’den fazla kişiyi hedef alan bir dizi SIM takas saldırısıyla bağlantılı olarak tel dolandırıcılık yapmak için komplo kurmakla suçlandı..
Kimlik avı ve SIM takas açıklarından ayrı olarak, veri sızıntısı risk faktörlerinin korkutucu yazılımın ötesinde gerçek fiziksel saldırılar alanına geçme olasılığını da açar. Nitekim, olaydan etkilenen bazı kullanıcılar, ödeme talep eden veya olası ev işgallerini riske atan tehdit mesajları aldıklarını iddia ediyor..
Ledger CEO’su, şirketin gözetiminin bir sonucu olarak fiziksel saldırı olasılığını kabul etti ve ayrıca kullanıcılara, donanım cüzdan cihazlarının fon hırsızlığına karşı koruma sağlamak için çeşitli koruyucu protokoller içerdiği konusunda güvence verdi. Bu güvenlik önlemleri arasında, cihazları biçimlendirmek için yanlış pin kodu girişlerinin kullanılması veya sahte bir hesap görüntüleyen ikinci bir şifrenin kullanılması, sahibinin gerçek parasını kötü oyunculardan korumaktır..
Ek olarak, uzlaşma Sosyal medyadaki güvenlik uzmanları arasında, tüketicilerin, bir Ledger sert cüzdanı gibi hassas öğeler için gerçek ev adresleri yerine postane kutu adreslerini veya diğer halka açık konumlarını kullanmaları gerektiğidir. Güvenliği ihlal edilmiş telefon numaralarına sahip olanlar için en iyi eylem şekli, yeni bir numara almak ve değişikliği önemli kişilere iletmek için yeni bir e-posta adresi kullanmaktır..
Etkilenen müşteriler sızıntının sonuçlarıyla ilgilenmeye devam ederken, Ledger gelecekteki olayları önlemek için çalıştığını söylüyor. Cointelegraph’a yaptığı açıklamada şirket şunları söyledi:
“Bu saldırıları durdurmak ve gelecekte böyle durumlardan kaçınmak için elimizden gelen her şeyi yapıyoruz. Ledger, kullanıcılarımızı kurbanlardan kimlik avı saldırılarına karşı korumak için bir dizi önlem aldı. Kimlik avı saldırılarının anatomisini paylaşan bir web sayfası oluşturduk, böylece kullanıcılar onlara düşmekten kurtulabilir ve yeni saldırıları rapor edebilir. “
Etkilenen kullanıcılar yasal işlemle tehdit ediyor
Etkilenen bazı kullanıcılar, bildirilen sızıntının hemen ardından Ledger aleyhine yasal işlem yapılmasını savunmaya başladı. Reddit platformunda, kullanıcıların bir sınıf eylem davası için olası yöntemleri tartıştıkları bir “Ledger cüzdan sızıntısı” alt dizini bile var..
Merkezi Paris’te bulunan Ledger, Avrupa Birliği yasalarına tabidir. Kasım ayında Avrupa Parlamentosu kabul edilen AB müşterilerinin önümüzdeki iki yıl içinde bölgede faaliyet gösteren şirketlere karşı toplu dava açmasına olanak tanıyan mevzuat değişiklikleri.
O zamanki karara göre, yasaya geçtikten sonra, AB’de faaliyet gösteren şirketlere karşı diğerlerinin yanı sıra finansal hizmetler, turizm ve veri korumayla ilgili davalar için toplu dava açılabilir..
Ledger’in AB müşterileri, şikayetçileri temsil etmek için nitelikli bir tüketici koruma kuruluşuna veya tanınmış başka bir kuruluşa ihtiyaç duyacaktır. Bununla birlikte, ABD yasalarından farklı olarak, AB toplu dava davalarından kaynaklanan cezai zararlar, davacı sınıfının maruz kaldığı gerçek kayıplarla sınırlıdır..
Şirket aleyhine dava açan müşterilerin yanı sıra, veri sızıntısı, özellikle AB Genel Veri Koruma Yönetmeliği kapsamında, Avrupa düzenleyicilerinin gözünde bir gizlilik ihlali oluşturabilir. Bu gibi durumlarda, AB, gelirinin% 4’üne kadar Ledger’a para cezası verme yetkisine sahiptir..
Gerçekten de, Ledger CEO’su, şirkete kullanıcı verilerini uygunsuz bir şekilde anonimleştirdiğini kabul ettiğinde, şirket AB yetkililerinin incelemesine girebilirdi. GDPR’nin 26. açıklaması yetki Tüm şirketler, saklanan veya işlenen verilerin önbelleğinden kullanıcıları tanımlayabilecek tüm bilgilerin tamamen kaldırılmasını sağlamak için.