Von SIM-Swaps bis hin zu Bedrohungen durch Hausinvasionen hat das Hauptbuchleck kaskadierende Konsequenzen

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Sobald er erfuhr, dass er zu den Tausenden von Ledger-Kunden gehörte, deren persönliche Informationen am Sonntag online veröffentlicht worden waren, handelte JimboChewdip, wie er auf Twitter genannt wird, schnell. Nicht schnell genug.

JCD, wie wir ihn nennen werden, hat am Montagmorgen seine Passwörter geändert, um eine Benachrichtigung zu erhalten, dass einem seiner 2FA-Konten (Two-Factor Authentication) ein neues Gerät hinzugefügt wurde. Dann versuchte er sich in seine E-Mail einzuloggen. Es war verschlossen.

"Innerhalb weniger Minuten erhielt ich Benachrichtigungen über Kennwortänderungen bei Coinbase, Binance und Dropbox", sagte er später gegenüber CoinDesk. "Ich habe versucht, T-Mobile über WLAN anzurufen, aber es funktioniert nicht, wenn die SIM-Karte deaktiviert ist. Deshalb habe ich mich auf Twitter an sie gewandt und jemanden vom Support gebeten, mein Konto zu sperren."

Zur gleichen Zeit postete JCD ein Twitter-Thread über die Situation.

"Als ich auf mein Coinbase Pro-Konto kam und den Kontostand überprüfte, gab es einen Verkauf der Münzen, die ich an Bitcoin hielt, und eine Auszahlung meines gesamten Kontos", sagte er. "Keine Antwort vom Coinbase-Support." Kryptowährung im Wert von rund 2.000 US-Dollar war weg.

Er kann den SIM-Swap-Angriff zwar nicht beweisen gegen ihn hingerichtet war mit dem Ledger-Leck verbunden, "das Timing ist sicherlich verdächtig", sagte er.

Auf dem Datendump konnte jeder 1 Million E-Mail-Adressen und 272.000 Namen, Postanschriften und Telefonnummern von Personen sehen, die Ledger-Geräte bestellt hatten, in denen die privaten Schlüssel für Kryptowährungs-Wallets gespeichert sind. Die Zahl der Betroffenen war viel höher als die 9.500, die das Unternehmen schätzte, als es im Juli einen Hack bekannt gab.

Der Vorfall zeigt den konkreten Schaden, den solche Lecks verursachen können, die vielfältigen Möglichkeiten, mit denen die Daten von Personen kompromittiert werden können, und wirft Fragen auf, wie und ob bestimmte Daten überhaupt aufbewahrt werden sollten. Wenn jemand in ein zentrales Repository mit vertraulichen Informationen gelangt, ist alles für die Aufnahme und anschließende Weitergabe vorhanden.

Weiterlesen: Social Engineering: Eine Pest auf Crypto und Twitter, die wahrscheinlich nicht aufhört

Hacker nutzen die Situation auf vielfältige Weise, einschließlich der Verwendung der Daten, um SIM-Swap-Angriffe wie gegen JCD durchzuführen. Bei einem solchen Angriff werden Mitarbeiter eines Telekommunikationsanbieters dazu verleitet, die Telefonnummern des Opfers auf das Gerät des Angreifers zu portieren. Auf diese Weise kann der Angreifer 2FA verwenden oder umgehen, um beispielsweise auf Krypto-Wallets oder Social-Media-Profile zuzugreifen.

Noch bedrohlicher ist, dass einige Benutzer physische Bedrohungen erhalten haben. In einem Fall hat ein Benutzer angeblich eine erhalten E-Mail von jemandem versuchen, ihre Kryptowährung zu erpressen, indem sie sagen, sie hätten "keine Angst, in ihr Haus einzudringen".

Je bereue

Da die US-Regierung und einige der führenden Cybersicherheitsunternehmen durch eine monatelange Cyberspionagekampagne verletzt werden, müssen möglicherweise die staatlichen Mandate zur Vorratsdatenspeicherung erneut geprüft werden.

„Datenverletzungen sind äußerst häufig. Der einzige Unterschied dazu [Ledger] Ein Verstoß besteht darin, dass die Betroffenen saftige, hochwertige Ziele für Spear Phisher und Betrüger sind “, sagte Jameson Lopp, Chief Technology Officer (CTO) beim Crypto Custody Startup Casa. "Als solche werden Kriminelle extremere Anstrengungen unternehmen als bei anderen Datenschutzverletzungen, da die potenzielle Auszahlung pro Zielbenutzer viel höher ist."

"Sammeln Sie nicht, was Sie nicht schützen können. Persönliche Informationen sollten wie Giftmüll behandelt werden “, sagt Jameson Lopp von Casa.
(Dan Meyers / Unsplash)

Am Dienstag hat Ledger in Paris getwittert dass „seit gestern eine neue Welle von Phishing-Angriffen stattgefunden hat, die unsere Benutzer physisch bedrohen“ und dass die Opfer niemals das Lösegeld zahlen sollten.

In einem Interview betonte Pascal Gauthier, CEO von Ledger, in erster Linie, wie leid es ihm tat, dass er gehackt hatte und das nachfolgende Leck überhaupt erst aufgetreten war.

"Ich möchte betonen, wie leid es uns tut, weil ich denke, dass es für unsere Kunden wichtig ist, zu wissen, dass sich das, was sie betrifft, auf uns auswirkt", sagte er.

Weiterlesen: Warum Ledger all diese Kundendaten überhaupt aufbewahrt hat

Er sagte, der erste Hack sei teilweise darauf zurückzuführen, dass das Unternehmen so schnell skaliert habe und dass er und der neue Chief Information Security Officer Matt Johnson eine neue Datenrichtlinie ankündigen und planen würden, die Lecks im Januar weiter zu beheben.

Gauthier sagte, die physischen Bedrohungen seien wahrscheinlich Phishing-Versuche und das Unternehmen habe diese E-Mails angeblich in mehreren Sprachen verschickt, was bedeutet, dass die Wahrscheinlichkeit, dass jemand tatsächlich versuchen würde, einen Benutzer physisch anzugreifen, gering sei.

"Wenn es um Krypto geht, ist es viel billiger und einfacher, einen Phishing-Angriff von zu Hause aus durchzuführen, als jemanden bei sich zu Hause anzugreifen", sagte er. "Angreifer werden die billigsten Angriffe ausführen, und Phishing ist definitiv der billigste Angriff, bevor sie etwas anderes tun."

Wie andere Unternehmen, darunter der konkurrierende Hardware-Portemonnaie-Hersteller CoinKite, anscheinend als Reaktion auf das Leck angekündigt hatten, kündigten sie dies an Benutzerdaten löschen Nach einer gewissen Zeit stellte Gauthier die Rechtmäßigkeit solcher Maßnahmen in Frage, da die steuerlichen Anforderungen die Aufbewahrung einer Teilmenge der Benutzerdaten für 10 Jahre vorschrieben, sagte er. ("Wir halten uns an die kanadischen Vorschriften", sagte ein Vertreter von CoinKite aus Toronto.)

Gauthier bemerkte auch, dass Datenverletzungen stetig zugenommen haben, und dies ist ein Problem, das über Ledger hinausgeht.

"Das Problem des Hackens und des Durchsickerns Ihrer Daten ist nicht so sehr eine Frage des Falls, sondern vielmehr des Zeitpunkts", sagte er.

"So schnell wie möglich löschen"

Der Kryptohändler Scott Melker brachte JCD mit Haseeb Awan in Kontakt, dem CEO von Efani, einem Cybersicherheitsunternehmen, das sich auf die Verhinderung von SIM-Swap-Angriffen konzentriert. Efani bietet 11 Authentifizierungsebenen für SIM-Karten, aber jedes Konto verfügt über mindestens sieben Authentifizierungsschritte, wenn ein Benutzer die SIM-Karte ersetzen möchte.

Awan half JCD, seine Nummer und PIN in kurzer Zeit zu sichern. Wenn er es nicht getan hätte, sagte JCD, hätte "viel mehr Schaden angerichtet werden können".

„Mit dem Ledger-Hack haben wir festgestellt, dass sich das Anrufvolumen unserer Opfer-Helpline mindestens verzehnfacht hat, und wir gehen davon aus, dass es mit dem bevorstehenden Urlaub weiter zunehmen wird, da die Opfer von ihren bestehenden Spediteuren nicht unterstützt werden ", Sagte Awan. "Kriminelle greifen in der Regel außerhalb der Geschäftszeiten oder an Feiertagen an, da die Opfer im Allgemeinen nicht auf ihre Telefone achten und aufgrund von Feiertagen nicht auf Support zugreifen können."

Weiterlesen: "Überzeugender" Phishing-Angriff richtet sich an Benutzer der Ledger-Hardware-Brieftasche

Laut Awan ist die Hauptbuchliste ein Honeypot potenzieller Ziele für Kriminelle, die in den nächsten Monaten für verschiedene Arten von Angriffen verwendet werden. Zu den häufigsten gehören wahrscheinlich SIM-Swaps für Mobiltelefone oder E-Mail-Kompromisse. Fälle von Identitätsdiebstahl oder der Zugriff auf die physische Adresse einer Person seien ein geringeres Risiko, sagte er.

Lopp sagte, seine größte Erkenntnis aus dem Ledger-Datendump sei, dass „Informationen frei sein wollen. Es ist grundsätzlich unmöglich zu garantieren, dass von Ihnen gespeicherte Daten nicht verloren gehen. "

Der einzige narrensichere Weg, um Lecks zu verhindern, besteht darin, überhaupt keine Daten zu sammeln, sagte er. Die zweitbeste Option besteht darin, Daten nur so lange zu speichern, wie sie benötigt werden, und sie automatisch zu löschen, sobald Sie sie nicht mehr verwenden. Dies wird laut Gauthier von Ledger geprüft.

Lopp fügte hinzu, dass es zwar völlig verständlich ist, E-Mail-Adressen langfristig für Marketingzwecke zu halten, die Namen, physischen Adressen und Telefonnummern der Kunden nach Abschluss einer Lieferung und Ablauf des Rückgabefensters jedoch schwerer zu rechtfertigen sind.

Und es hätte schlimmer kommen können: Die durchgesickerten Daten stammten nur aus den letzten ein oder zwei Bestellungen, nicht aus der gesamten Bestellhistorie von 2014, als Ledger sein erstes Produkt herausbrachte.

"Sammeln Sie nicht, was Sie nicht schützen können. Persönliche Informationen sollten wie Giftmüll behandelt werden “, sagte Lopp. „Wenn Sie PII sammeln müssen [personal identifiable information] Löschen Sie es für geschäftliche Zwecke so schnell wie möglich, um die Datenmenge, die Sie zu jedem Zeitpunkt zur Verfügung haben, zu minimieren. “

UPDATE (24. Dezember, 1:20 UTC): Kommentar eines konkurrierenden Hardware-Brieftaschenherstellers hinzugefügt.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close