Rò rỉ dữ liệu sổ cái: Một ‘sai lầm đơn giản’ khiến người mua ví tiền điện tử 270 nghìn tỷ

Tin tặc có khả năng chịu trách nhiệm về vi phạm bảo mật của Ledger vào tháng 7 gần đây đã đổ một lượng lớn dữ liệu làm lộ thông tin cá nhân của hơn 270.000 khách hàng, bao gồm cả số điện thoại và địa chỉ thực. Vụ rò rỉ cũng bao gồm 1 triệu email của chủ sở hữu ví Ledger và khách hàng đã đăng ký dịch vụ bản tin của công ty.

Trong bối cảnh lo lắng do sự cố gây ra, Ledger cho biết trọng tâm của họ là cải thiện cơ sở hạ tầng bảo mật hơn là bồi hoàn cho người dùng nếu có bất kỳ tổn thất nào có thể xảy ra. Trong khi đó, một số khách hàng bị ảnh hưởng được cho là đang xem xét việc khởi kiện công ty dưới hình thức một vụ kiện tập thể.

Vụ rò rỉ dữ liệu khách hàng của Ledger cũng cung cấp nguồn gốc mới cho cuộc tranh luận chống lại việc triển khai thêm các giao thức tuân thủ Biết khách hàng của bạn, những người chỉ trích cho rằng các biện pháp như vậy khuyến khích các cuộc tấn công mạng có chủ đích nhằm tiết lộ dữ liệu cá nhân quan trọng.

Hơn 270.000 chi tiết tài khoản cá nhân bị xâm phạm

Như đã đề cập, tin tặc có lẽ chịu trách nhiệm về việc xâm phạm cơ sở dữ liệu thương mại điện tử Ledger hồi tháng 7, đã đưa thông tin cá nhân của hàng nghìn người dùng bị ảnh hưởng lên mạng. Công ty đã bị đổ lỗi cho phương tiện truyền thông xã hội vì đã không bảo vệ tốt hơn dữ liệu người dùng và hạ thấp mức độ của vi phạm ban đầu. Vào thời điểm đó, nhà sản xuất ví phần cứng tuyên bố rằng chỉ có 9.500 khách hàng bị ảnh hưởng bởi vi phạm bảo mật.

Giải quyết sự chênh lệch về số lượng người bị ảnh hưởng được báo cáo, Ledger cấp một tuyên bố vào ngày 21 tháng 12 tuyên bố rằng vụ rò rỉ bao gồm nhiều tài liệu hơn những gì nó có thể phân tích hồi đầu năm. Tuy nhiên, công ty khẳng định rằng tiền của khách hàng vẫn an toàn, đồng thời cho biết thêm: “Việc vi phạm dữ liệu này không có liên kết cũng như ảnh hưởng đến ví phần cứng của chúng tôi, ứng dụng hoặc tiền của bạn. Tài sản tiền điện tử của bạn được an toàn. Mặc dù rất thực sự và chân thành đáng tiếc, vi phạm này chỉ liên quan đến thông tin liên quan đến thương mại điện tử. “

Phản hồi về vụ việc thông qua Twitter, Giám đốc điều hành Ledger Pascal Gauthier nhận xét rằng vụ rò rỉ là dấu hiệu của mối đe dọa tấn công mạng ngày càng tăng. Xuất hiện trên podcast What Bitcoin Did với Peter McCormack, Gauthier đã nhận xét về bản chất của vi phạm, tuyên bố rằng đó là kết quả của sai lầm trong hệ thống thương mại điện tử của công ty.

“Đó là một khóa API sai được mã hóa trên ứng dụng khách bản đồ để nhập cơ sở dữ liệu từ cửa hàng đã được mã hóa sai vị trí và do đó, được mã hóa ở nơi đáng lẽ không được mã hóa và khiến cơ sở dữ liệu bị tấn công đơn giản, ”Gauthier giải thích.

Giữa các phản ứng về vụ rò rỉ, một số chuyên gia an ninh mạng nhấn mạnh rằng vụ việc là một dấu hiệu khác cho thấy các quản trị viên cơ sở dữ liệu thiếu triển khai mã hóa trong việc lưu trữ dữ liệu người dùng. Giám đốc điều hành của Ledger đã giải quyết việc thiếu mã hóa trên các khóa API, nói thêm rằng đó là một sai lầm trung thực và không phải là một nỗ lực cố ý gây nguy hiểm cho sự an toàn của khách hàng bằng cách không băm các khóa API.

Bình luận về vụ rò rỉ, Ruben Merre, Giám đốc điều hành của nhà sản xuất ví phần cứng NGRAVE, nhận xét rằng vụ việc phản ánh sự phát triển nhanh chóng giữa các công ty tiền điện tử với chi phí cân nhắc về bảo mật. Ông nói thêm: “Rất nhiều nền tảng trực tuyến bị tấn công, và không nhất thiết là do kỹ năng của tin tặc. Thông thường, các nền tảng chỉ có quản trị bảo mật kém, chứ chưa nói đến việc triển khai ”.

‘Scareware’ và các yếu tố nguy cơ khác

Vụ rò rỉ dữ liệu đã kích hoạt một đợt tấn công lừa đảo khác khi những kẻ lừa đảo, hiện được trang bị email của người dùng Ledger, cố gắng lừa khách hàng của ví tiết lộ cụm từ hạt giống 24 từ của họ. Ngay cả trước khi kết xuất dữ liệu, những email giả mạo như vậy vẫn thường xuyên xảy ra.

Tuy nhiên, việc để lộ số điện thoại và địa chỉ cá nhân có khả năng mở ra cho người dùng Ledger nhiều yếu tố rủi ro hơn. Một số người dùng đã báo cáo các cuộc tấn công hoán đổi SIM vào số của họ với tin tặc có lẽ đang cố gắng xâm phạm các giao thức ủy quyền hai yếu tố.

Các nhà đầu tư tiền điện tử đã từng là mục tiêu của các cuộc tấn công hoán đổi SIM trong quá khứ. Trở lại vào tháng 6, Richard Yuan Li bị buộc tội âm mưu lừa đảo liên quan đến một loạt các cuộc tấn công hoán đổi SIM nhằm vào hơn 20 cá nhân.

Ngoài việc khai thác lừa đảo và hoán đổi SIM, vụ rò rỉ dữ liệu còn mở ra khả năng các yếu tố nguy cơ vượt ra ngoài phần mềm hù dọa vào lĩnh vực tấn công vật lý thực tế. Thật vậy, một số người dùng bị ảnh hưởng bởi sự cố cho biết đã nhận được tin nhắn đe dọa yêu cầu thanh toán hoặc có nguy cơ bị xâm nhập nhà.

Giám đốc điều hành của Ledger đã thừa nhận khả năng xảy ra các cuộc tấn công vật lý do sự giám sát của công ty và cũng đã đảm bảo với người dùng rằng các thiết bị ví phần cứng của họ chứa một số giao thức bảo vệ để bảo vệ chống lại việc đánh cắp tiền. Trong số các biện pháp bảo mật này là việc sử dụng các mục nhập mã pin không chính xác để định dạng thiết bị hoặc mật khẩu thứ hai hiển thị tài khoản giả, khiến số tiền thực tế của chủ sở hữu được an toàn trước những kẻ xấu.

Ngoài ra, đoàn kết giữa các chuyên gia bảo mật trên phương tiện truyền thông xã hội là người tiêu dùng nên sử dụng địa chỉ hộp thư bưu điện hoặc các địa điểm nhận hàng công cộng khác thay vì địa chỉ nhà thực tế của họ cho các mặt hàng nhạy cảm như ví cứng Ledger. Đối với những người có số điện thoại bị xâm phạm, hành động tốt nhất dường như là lấy một số mới và sử dụng địa chỉ email mới để thông báo thay đổi cho các liên hệ quan trọng.

Trong khi các khách hàng bị ảnh hưởng tiếp tục đối phó với hậu quả của vụ rò rỉ, Ledger cho biết họ đang làm việc để ngăn chặn những sự cố xảy ra trong tương lai. Trong một tuyên bố với Cointelegraph, công ty cho biết:

“Chúng tôi đang làm mọi thứ trong khả năng của mình để chấm dứt những cuộc tấn công này và tránh những tình huống như thế này trong tương lai. Ledger có một loạt các biện pháp để bảo vệ người dùng của chúng tôi khỏi trở thành nạn nhân của các cuộc tấn công lừa đảo. Chúng tôi đã thiết lập một trang web chia sẻ thông tin chi tiết về các cuộc tấn công lừa đảo để người dùng có thể tránh bị chúng tấn công và báo cáo bất kỳ cuộc tấn công mới nào ”.

Người dùng bị ảnh hưởng đe dọa hành động pháp lý

Một số người dùng bị ảnh hưởng đã bắt đầu ủng hộ hành động pháp lý chống lại Ledger ngay sau vụ rò rỉ được báo cáo. Thậm chí còn có một subreddit “rò rỉ ví Ledger” trên nền tảng Reddit, nơi người dùng đang thảo luận về các phương thức khả thi cho một vụ kiện tập thể.

Với trụ sở chính tại Paris, Ledger tuân theo luật của Liên minh Châu Âu. Vào tháng 11, Nghị viện Châu Âu con nuôi sửa đổi lập pháp sẽ cho phép khách hàng EU khởi kiện tập thể chống lại các công ty hoạt động trong khu vực trong vòng hai năm tới.

Theo phán quyết vào thời điểm đó, sau khi được thông qua luật, các vụ kiện tập thể có thể được đệ trình chống lại các công ty hoạt động ở EU vì các vụ việc liên quan đến dịch vụ tài chính, du lịch và bảo vệ dữ liệu, cùng những vụ kiện khác.

Khách hàng của Ledger ở Liên minh Châu Âu sẽ yêu cầu cơ quan bảo vệ người tiêu dùng đủ điều kiện hoặc một số tổ chức được công nhận khác đại diện cho người khiếu nại. Tuy nhiên, không giống như luật của Hoa Kỳ, các thiệt hại trừng phạt từ các vụ kiện tập thể của Liên minh Châu Âu bị hạn chế ở những thiệt hại thực tế mà nhóm nguyên đơn phải gánh chịu.

Ngoài việc khách hàng đệ đơn kiện công ty, việc rò rỉ dữ liệu cũng có thể cấu thành hành vi vi phạm quyền riêng tư trong mắt các nhà quản lý châu Âu, cụ thể là theo Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu. Trong những tình huống như vậy, EU có khả năng phạt Ledger tới 4% doanh thu của mình.

Thật vậy, với việc Giám đốc điều hành Ledger đã thừa nhận việc công ty ẩn danh dữ liệu người dùng một cách không thích hợp, công ty có thể bị các quan chức EU giám sát. Recital 26 của GDPR nhiệm vụ tất cả các công ty để đảm bảo loại bỏ hoàn toàn tất cả thông tin có thể nhận dạng người dùng khỏi bộ nhớ cache của dữ liệu được lưu trữ hoặc đã xử lý.