Ledger - REKT
Vota con tu wallet.
Ledger ha perdido la confianza de sus usuarios.
La información de los clientes que fue filtrada en julio ha estado disponible un buen tiempo para aquellos que estaban dispuestos a pagar el precio, pero ahora es gratis.
La lista de los 272,853 clientes y 1,075,382 suscriptores de email fue posteada anoche en raidforums para la consternación de algunos usuarios del foro quienes se quejaron de que el OP había arruinado su valor financiero.
En julio del 2020 un investigador había estado involucrado en el programa Bug Bounty de Ledger cuando encontró un potencial vector de ataque. Más tarde resultó que este vector ya había sido explotado.
Ledger luego anunció que su sitio web había sido explotado y que una “tercera parte no autorizada había logrado acceder a una porción de la base de datos de ecommerce y marketing a través de una API Key”.
La información contenida en este fuga de datos se estaba vendiendo supuestamente por casi seis dígitos. Esto prueba el valor de esta información personal; quienquiera que pagara estos precios habrá esperado beneficiarse de su compra.
Desde que la información se ha convertido en de libre acceso, los usuarios han estado reportando un incremento en intentos de phishing. Este comportamiento seguirá creciendo tras los siguientes meses, y no será sorpresa escuchar de un ataque físico debido a esta fuga de datos.
En el mejor de los escenarios Ledger ha suministrado una lista de objetivos a los estafadores de tipo SIM swapping y campañas de phishing. En el peor de los escenarios podrían haber ataques físicos o robos debido a la información personal que ha sido filtrada.
Al principio Ledger nos dijo que un grupo de 9500 clientes tuvo sus datos expuestos, incluyendo nombre, apellido, dirección postal, y número de teléfono. Ahora descubrimos que este número era cercano a 227,000.
¿Estaba Ledger ofuscando a propósito la severidad del incidente?
Hablamos con un representante de Ledger, quien aportó la siguiente declaración;
Seguimos investigando este asunto en desarrollo, pero el contenido revelado podría ser la base de datos de e-commerce de Ledger que fue expuesta en la fuga de datos de junio del 2020. Puede que esta base de datos sea usada por estafadores para ataques de phishing por correo electrónico y campañas de mensajes de texto.
Nuestro equipo de Atención al Cliente ha estado trabajando para notificar a nuestros usuarios vía Twitter y respondiendo preguntas, mientras que también se encuentra reportando cada tweet o post de Reddit que contenga un enlace a la base de datos. Urgimos a todos nuestro usuarios a no compartir nunca su frase de 24 palabras, y recordar que nunca nadie de nuestro equipo pidió esta información privada.
Desde que descubrimos la fuga de datos en junio del 2020, hemos trabajado con una organización de seguridad externa para realizar una evaluación forense. El informe confirmó que solamente 9,500 individuos fueron impactados, quienes fueron contactados personalmente por Ledger Support. Desde que los ataques de phishing comenzaron a ocurrir, deducimos que más información se podría haber filtrado y seguimos notificando a todos los usuarios vía Twitter y correo electrónico.
_ Estamos haciendo lo posible para cesar estos ataques y evitar situaciones como esta en el futuro. Ledger tiene implementada una variedad de medidas para proteger a nuestros usuarios de ser víctimas de los ataques de_ phishing. Hemos establecido un sitio web para compartir la anatomía de los ataques de phishing para que los usuarios puedan evitar caer en ellos y reportar cualquier nuevo ataque: https://www.ledger.com/phishing-campaigns-status
Lamentamos sinceramente esta situación, y nuestro equipo está trabajando diligentemente para detener a los estafadores y restaurar la fé en la comunidad. Hemos sido abiertos y transparentes sobre este asunto desde el principio y continuaremos respondiendo a cualquier nuevo acontecimiento en cuanto surja más información. Seguimos analizando estos datos y continuaremos aportando actualizaciones.
Esta situación demuestra el problema de dependencia en terceras partes para alojar nuestra información de manera segura.
Mientras crece la Web 3.0, los problemas de la Web 2.0 se vuelven cada vez más obvios. El cumplimiento forzado de las empresas offline retrasa nuestro progreso y pone nuestra información en riesgo.
Somos obligados a confiar nuestros datos a estas empresas, a pesar de los riesgos conocidos del alojamiento centralizado. Empresas como Ledger quedan divididas entre el mundo viejo y el nuevo, incapaces o reticentes a implementar tecnología como zk-proofs que aseguraría su base de datos.
No solo los del mundo criminal tendrán ganas de ver esta información. En Europa ya han sucedido casos en los que los datos de clientes de bancos suizos han sido comprados por funcionarios oficiales para ayudarles en sus investigaciones de evasión de impuestos.
La infraestructura estricta del RGPD ha quedado destrozada por esta fuga de datos. Los clientes que pidieron que sus datos fueran borrados fueron ignorados o incluso les mintieron.
Uno de estos clientes nos contó;
Les envié un email en mayo de 2020 y les pedí que borraran cualquier dato que tuvieran sobre mi de mis múltiples pedidos. Cité el RGPD en el mensaje. Me respondieron: “Gracias por contactarnos. Será hecho lo más pronto posible.”
Después de las fugas, hice una referencia cruzada y me di cuenta que yo estoy dentro de la gran filtración de datos (email, dirección, teléfono...)
Ledger debió haberse asegurado de que estos datos personales fueran automáticamente borrados después de un periodo de tiempo establecido.
¿Fue incompetencia o deshonestidad lo que causó que Ledger ignorara estas peticiones?
Ya no importa - ahora no hay manera de cambiar lo que pasó.
No hay una solución para una fuga de datos, la única cura es la prevención.
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Tornado Cash Governance - REKT
Los Cypherpunks se esfuerzan por volverse ingobernables, pero no así. La gobernanza de Tornado Cash ha sido tomado como rehén a través de una propuesta caballo de Troya. Pero ahora el hacker propone revertir los efectos de su exploit. Con suerte, todo esto resultará ser nada más que una tormenta en un vaso de agua.
Swaprum - REKT
Swaprum, un DEX implementado en Arbitrum, hizo un rugpull con $3M el jueves. Certik, el auditor del proyecto, ha actualizado la puntuación de seguridad de Swaprum a "Exit Scam". ¿Demasiado poco y demasiado tarde?
Level Finance - REKT
Level Finance fue rekt. $1.1M en recompensas por referidos fueron robados de la plataforma de perps basada en BSC. El ataque se intentó inicialmente hace más de una semana, pero parece que nadie se dio cuenta. ¿Podría una advertencia haber salvado a Level?