Ο χάκερ πιθανότατα υπεύθυνος για την παραβίαση της ασφάλειας του Ledger τον Ιούλιο πέταξε πρόσφατα μεγάλο αριθμό δεδομένων που εκθέτοντας τα προσωπικά στοιχεία περισσότερων από 270.000 πελατών, συμπεριλαμβανομένων αριθμών τηλεφώνου και φυσικών διευθύνσεων. Η διαρροή περιελάμβανε επίσης 1 εκατομμύριο μηνύματα ηλεκτρονικού ταχυδρομείου ιδιοκτητών και πελατών πορτοφολιών Ledger που είχαν εγγραφεί στην υπηρεσία ενημερωτικών δελτίων της εταιρείας.
Εν μέσω της φρίκης που προκλήθηκε από το περιστατικό, ο Ledger λέει ότι επικεντρώνεται στη βελτίωση της υποδομής ασφαλείας του και όχι στην αποζημίωση των χρηστών για τυχόν απώλειες που μπορεί να προκύψουν. Εν τω μεταξύ, ορισμένοι επηρεαζόμενοι πελάτες φέρεται να εξετάζουν το ενδεχόμενο προσφυγής κατά της εταιρείας με τη μορφή αγωγής κατηγορίας.
Η διαρροή δεδομένων πελατών Ledger προσφέρει επίσης νέες ζωοτροφές για τη συζήτηση κατά της εφαρμογής περισσότερων πρωτοκόλλων συμμόρφωσης Γνωρίστε τον πελάτη σας, επικριτές των οποίων υποστηρίζουν ότι τέτοια μέτρα ενθαρρύνουν στοχευμένες επιθέσεις στον κυβερνοχώρο με στόχο την έκθεση κρίσιμων προσωπικών δεδομένων.
Παραβιάστηκαν περισσότερα από 270.000 στοιχεία προσωπικού λογαριασμού
Όπως αναφέρθηκε, ο χάκερ πιθανώς υπεύθυνος για παραβίαση της βάσης δεδομένων ηλεκτρονικού εμπορίου Ledger τον Ιούλιο πέταξε τις προσωπικές πληροφορίες χιλιάδων χρηστών που επηρεάστηκαν στο Διαδίκτυο. Η εταιρεία κατηγορήθηκε στα μέσα κοινωνικής δικτύωσης για το ότι δεν παρέχει καλύτερη προστασία των δεδομένων χρήστη και υποβαθμίζει την έκταση της αρχικής παραβίασης. Εκείνη την εποχή, ο κατασκευαστής πορτοφολιών υλικού δήλωσε ότι μόνο 9.500 πελάτες επηρεάστηκαν από την παραβίαση ασφάλειας.
Αντιμετωπίζοντας την ανισότητα στον αναφερόμενο αριθμό ατόμων που επηρεάστηκαν, το Ledger εκδόθηκε μια δήλωση στις 21 Δεκεμβρίου που δηλώνει ότι η διαρροή κάλυψε περισσότερο υλικό από ό, τι ήταν σε θέση να αναλύσει στις αρχές του έτους. Ωστόσο, η εταιρεία επιβεβαίωσε ότι τα χρήματα των πελατών παρέμειναν ασφαλή, προσθέτοντας: «Αυτή η παραβίαση δεδομένων δεν έχει καμία σχέση ούτε επηρεάζει τα πορτοφόλια υλικού μας, την εφαρμογή ή τα χρήματά σας. Τα κρυπτογραφικά σας στοιχεία είναι ασφαλή. Αν και είναι πολύ αληθινά και ειλικρινά λυπηρό, αυτή η παραβίαση αφορά μόνο πληροφορίες που σχετίζονται με το ηλεκτρονικό εμπόριο. “
Απαντώντας στο περιστατικό μέσω Twitter, ο Διευθύνων Σύμβουλος της Ledger, Pascal Gauthier παρατήρησε ότι η διαρροή ήταν ενδεικτική της αυξανόμενης απειλής των κυβερνοεπιθέσεων. Εμφανίζεται στο podcast What Bitcoin Did με τον Peter McCormack, Gauthier σχολίασε σχετικά με τη φύση της παραβίασης, δηλώνοντας ότι ήταν αποτέλεσμα λάθους στη στοίβα ηλεκτρονικού εμπορίου της εταιρείας.
«Είναι ένα λάθος κλειδί API που κωδικοποιήθηκε στον πελάτη του χάρτη για να εισαγάγει τη βάση δεδομένων από το κατάστημα που κωδικοποιήθηκε σε λάθος τοποθετήσεις και, επομένως, κωδικοποιήθηκε όπου δεν θα έπρεπε να είχε κωδικοποιηθεί και να εκθέσει τη βάση δεδομένων σε μια απλή επίθεση, »Εξήγησε ο Γκάουτιερ.
Εν μέσω των αντιδράσεων στη διαρροή, ορισμένοι εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο τόνισαν ότι το περιστατικό ήταν ένας άλλος δείκτης της έλλειψης ανάπτυξης κρυπτογράφησης από τους διαχειριστές βάσεων δεδομένων στην αποθήκευση δεδομένων χρήστη. Ο Διευθύνων Σύμβουλος της Ledger αντιμετώπισε την έλλειψη κρυπτογράφησης στα κλειδιά API, προσθέτοντας ότι ήταν ένα ειλικρινές λάθος και όχι μια σκόπιμη προσπάθεια να τεθεί σε κίνδυνο η ασφάλεια των πελατών, αποτυγχάνοντας να κατακερματιστούν τα κλειδιά API.
Σχολιάζοντας τη διαρροή, ο Ruben Merre, Διευθύνων Σύμβουλος του κατασκευαστή πορτοφολιών υλικού NGRAVE, παρατήρησε ότι το περιστατικό αντικατοπτρίζει την ταχεία ανάπτυξη των κρυπτογραφικών εταιρειών που έρχονται σε βάρος των ζητημάτων ασφάλειας. Πρόσθεσε: «Τόσες πολλές διαδικτυακές πλατφόρμες παραβιάζονται και όχι απαραίτητα λόγω της ικανότητας των χάκερ. Συχνά, οι πλατφόρμες έχουν κακή διακυβέρνηση ασφαλείας, πόσο μάλλον την εφαρμογή. “
«Scareware» και άλλοι παράγοντες κινδύνου
Η διαρροή δεδομένων προκάλεσε έναν άλλο γύρο επιθέσεων ηλεκτρονικού ψαρέματος, καθώς οι αδίστακτοι ηθοποιοί, τώρα οπλισμένοι με τα μηνύματα ηλεκτρονικού ταχυδρομείου των χρηστών Ledger, προσπαθούν να εξαπατήσουν τους πελάτες του πορτοφολιού να αποκαλύψουν τη φράση των 24 λέξεων. Ακόμη και πριν από την απόρριψη δεδομένων, αυτά τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου ήταν τακτικά.
Ωστόσο, η έκθεση αριθμών τηλεφώνου και προσωπικών διευθύνσεων ανοίγει δυνητικά τους χρήστες Ledger σε περισσότερους παράγοντες κινδύνου. Ορισμένοι χρήστες ανέφεραν απόπειρα ανταλλαγής επιθέσεων SIM στους αριθμούς τους με τον χάκερ που πιθανώς προσπαθούν να θέσουν σε κίνδυνο τα πρωτόκολλα εξουσιοδότησης δύο παραγόντων.
Οι επενδυτές Crypto υπήρξαν στόχοι των επιθέσεων ανταλλαγής SIM στο παρελθόν. Τον Ιούνιο, ο Richard Yuan Li κατηγορήθηκε για συνωμοσία για διάπραξη απάτης σε σχέση με μια σειρά επιθέσεων ανταλλαγής SIM που στοχεύουν πάνω από 20 άτομα.
Εκτός από την εκμετάλλευση ηλεκτρονικού ψαρέματος (phishing) και ανταλλαγής SIM, η διαρροή δεδομένων ανοίγει επίσης την πιθανότητα οι παράγοντες κινδύνου να προχωρήσουν πέρα από το λογισμικό στον κόσμο των πραγματικών φυσικών επιθέσεων. Πράγματι, ορισμένοι χρήστες που επηρεάζονται από το περιστατικό ισχυρίζονται ότι έχουν λάβει απειλητικά μηνύματα που ζητούν πληρωμές ή κινδυνεύουν πιθανές εισβολές στο σπίτι.
Ο Διευθύνων Σύμβουλος της Ledger έχει αναγνωρίσει την πιθανότητα φυσικών επιθέσεων ως αποτέλεσμα της εποπτείας της εταιρείας και έχει επίσης διαβεβαιώσει τους χρήστες ότι οι συσκευές πορτοφολιών υλικού τους περιείχαν αρκετά προστατευτικά πρωτόκολλα για την προστασία από την κλοπή χρημάτων. Μεταξύ αυτών των μέτρων ασφαλείας είναι η χρήση λανθασμένων καταχωρίσεων κωδικού πρόσβασης για τη μορφοποίηση συσκευών ή ενός δεύτερου κωδικού πρόσβασης που εμφανίζει εικονικό λογαριασμό, αφήνοντας τα πραγματικά χρήματα του ιδιοκτήτη ασφαλή από κακούς ηθοποιούς.
Επιπλέον, το ομοφωνία Μεταξύ των ειδικών ασφαλείας στα μέσα κοινωνικής δικτύωσης είναι ότι οι καταναλωτές θα πρέπει να χρησιμοποιούν διευθύνσεις ταχυδρομικής θυρίδας ή άλλες δημόσιες θέσεις παραλαβής αντί για τις πραγματικές τους διευθύνσεις σπιτιού για ευαίσθητα αντικείμενα όπως ένα σκληρό πορτοφόλι Ledger. Για όσους έχουν παραβιασμένους αριθμούς τηλεφώνου, φαίνεται ότι η καλύτερη γραμμή δράσης είναι να λαμβάνετε έναν νέο αριθμό και να χρησιμοποιείτε μια νέα διεύθυνση email για να κοινοποιήσετε την αλλαγή σε σημαντικές επαφές.
Ενώ οι επηρεαζόμενοι πελάτες συνεχίζουν να αντιμετωπίζουν τις επιπτώσεις της διαρροής, η Ledger λέει ότι εργάζεται για να αποτρέψει μελλοντικά συμβάντα. Σε δήλωση προς την Cointelegraph, η εταιρεία δήλωσε:
«Κάνουμε ό, τι είναι δυνατόν για να σταματήσουμε αυτές τις επιθέσεις και να αποφύγουμε καταστάσεις όπως αυτές στο μέλλον. Το Ledger έχει εφαρμόσει μια σειρά μέτρων για την προστασία των χρηστών μας από πτώσεις θυμάτων σε επιθέσεις ηλεκτρονικού ψαρέματος. Έχουμε δημιουργήσει μια ιστοσελίδα που μοιράζεται την ανατομία των επιθέσεων ηλεκτρονικού ψαρέματος (phishing), ώστε οι χρήστες να μπορούν να αποφύγουν την πτώση τους και να αναφέρουν νέες επιθέσεις. “
Οι επηρεαζόμενοι χρήστες απειλούν νομική ενέργεια
Ορισμένοι επηρεασμένοι χρήστες άρχισαν να συνηγορούν για νομική δράση εναντίον του Ledger αμέσως μετά την αναφερόμενη διαρροή. Υπάρχει ακόμη και ένα subreddit “Ledger wallet leak” στην πλατφόρμα Reddit, όπου οι χρήστες συζητούν πιθανές λεπτομέρειες για μια αγωγή κατηγορίας.
Με έδρα στο Παρίσι, το Ledger εμπίπτει στους νόμους της Ευρωπαϊκής Ένωσης. Το Νοέμβριο, το Ευρωπαϊκό Κοινοβούλιο θετός νομοθετικές τροποποιήσεις που θα επιτρέψουν στους πελάτες της ΕΕ να ασκήσουν αγωγές αγωγής κατά εταιρειών που δραστηριοποιούνται στην περιοχή εντός των επόμενων δύο ετών.
Σύμφωνα με την τότε απόφαση, αφού εκδοθεί νόμος, μπορούν να ασκηθούν αγωγές αγωγής κατά εταιρειών που δραστηριοποιούνται στην ΕΕ για περιπτώσεις που περιλαμβάνουν χρηματοοικονομικές υπηρεσίες, τουρισμό και προστασία δεδομένων, μεταξύ άλλων.
Οι πελάτες της Ledger στην ΕΕ θα απαιτούν έναν εξειδικευμένο φορέα προστασίας των καταναλωτών ή κάποια άλλη αναγνωρισμένη οντότητα για να εκπροσωπούν τους καταγγέλλοντες. Ωστόσο, σε αντίθεση με τους νόμους των ΗΠΑ, οι ποινικές ζημίες από αγωγές αγωγής κατηγορίας ΕΕ περιορίζονται στις πραγματικές απώλειες που υπέστη η τάξη των ενάγων.
Εκτός από τους πελάτες που υποβάλλουν αγωγή εναντίον της εταιρείας, η διαρροή δεδομένων μπορεί επίσης να συνιστά παραβίαση της ιδιωτικής ζωής στα μάτια των ευρωπαίων ρυθμιστικών αρχών, ειδικά βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ. Σε τέτοιες καταστάσεις, η ΕΕ έχει τη δυνατότητα να επιβάλλει πρόστιμο έως και στο 4% των εσόδων της.
Πράγματι, με τον Διευθύνοντα Σύμβουλο της Ledger να παραδέχεται στην εταιρεία την ανωνυμία των δεδομένων χρήστη, η εταιρεία θα μπορούσε να τεθεί υπό έλεγχο από αξιωματούχους της ΕΕ. Αιτιολογική σκέψη 26 του GDPR εντολές όλες οι εταιρείες να διασφαλίσουν την πλήρη κατάργηση όλων των πληροφοριών που μπορούν να προσδιορίσουν τους χρήστες από την προσωρινή μνήμη των αποθηκευμένων ή επεξεργασμένων δεδομένων τους.