Ledger - REKT

Ledger потерял доверие своих пользователей.

Украденная в июле информация о клиентах долгое время была доступна тем, кто готов был заплатить указанную цену, но теперь и платить уже не надо.

Список имен 272,853 клиентов и 1,075,382 электронных адресов подписчиков вчера ночью был выложен на рейдерских форумах, вызвав отчаяние у некоторых пользователей форума, которые пожаловались что автор поста уничтожил тем самым его финансовую ценность.

В июле 2020 года в программе Bug Bounty проекта Ledger принимал участие исследователь, и он обнаружил потенциальный вектор атаки. Позже выяснилось, что этот вектор уже подвергся эксплоиту.

Тогда Ledger объявил, что их веб-сайт был взломан, и что «неавторизованная третья сторона получила доступ к части нашей коммерческой и маркетинговой базы данных с помощью ключа API».

Сообщалось, что информация из этой утечки была продана за шестизначную сумму. Это доказывает ценность этой информации о персональных данных; тот, кто заплатил за нее такую сумму, собирался извлечь выгоду из своей покупки.

После того, как информация попала в свободный доступ, пользователи начали сообщатьбо увеличившемся количестве попыток фишинга. В течение следующих месяцев такие инциденты будут учащаться, и не стоит удивляться, если мы услышим и о физических нападениях из-за кражи данных.

В лучшем случае Ledger предоставил список мишеней для фишинговых кампаний и мошенников, взламывающих SIM-карты. В худшем случае стоит опасаться физических нападений и ограблений из-за утечки личной информации.

Поначалу Ledger сообщил, что были похищены данные 9500 клиентов, включая имена, фамилии, почтовые адреса и номера телефонов. Теперь выяснилось, что эта цифра ближе к 227,000.

В Ledger намеренно скрывали серьезность случившегося?

Мы поговорили с представителем Ledger, который сказал нам следующее:

В настоящий момент инцидент и его расследование продолжаются. Утечка может касаться базы данных электронной коммерции, которую взломали в июне 2020 года. Эти данные могут быть использованы мошенниками для фишинговых атак посредством рассылки электронных писем или текстовых сообщений.

Наша служба поддержки проводит работу по информированию клиентов в Твиттере, отвечает на вопросы, а также подает жалобы на все твиты и статьи в Reddit, в которых содержится ссылка на базу данных. Мы убедительно рекомендуем нашим пользователям никогда не делиться секретной фразой из 24 слов и помнить и том, что ни один наш сотрудник никогда не попросит поделиться этой личной информацией.

Мы проводили криминалистическую экспертизу совместно со сторонней охранной организацией с того момента, как обнаружили утечку информации в июне 2020 года. Экспертиза подтвердила, что это затронуло только 9,500 человек, Со всеми ними лично связалась служба поддержки Ledger. Когда начались фишинговые атаки, мы предположили, что утечка могла касаться большего количества данных и продолжили информировать всех пользователей в Твиттере и по электронной почте.

Мы делаем все, что в наших силах, чтобы остановить атаки и избежать подобных ситуаций в будущем. Ledger принял ряд мер по защите наших пользователей от фишинговых атак. Мы создали веб-страницу, на которой делимся информацией об анатомии атак, чтобы пользователи могли избежать их и сообщить о новых атаках: https://www.ledger.com/phishing-campaigns-status

Мы искренне сожалеем о случившемся, наша команда прилагает огромные усилия, чтобы остановить мошенников и восстановить доверие сообщества. С самого начала мы действовали открыто и прозрачно и мы продолжим реагировать на любые новые события по мере поступления информации. Мы продолжаем анализировать данные и будем сообщать об обновлениях.

Эта ситуация показала, что мы зависим от сторонних организаций в вопросах безопасного хранения информации.

По мере развития Web 3.0 проблемы Web 2.0 становятся все более очевидными. Вынужденное сотрудничество с предприятиями вне сети замедляет наш прогресс и ставит под угрозу нашу безопасность.

Мы вынуждены доверять этим компаниям наши данные, несмотря на известный риск централизованного хранения. Такие компании как Ledger разрываются между старым миром и новым, не имея возможности или желания внедрять технологии, как например доказательство с нулевым разглашением, которые могли бы обезопасить их базы данных.

Не только преступный мир заинтересован в получении этой информации. В Европе уже были случаи, когда данные клиентов Швейцарских банков покупались государственными организациями для расследования налоговых нарушений.

Эта кража данных показала, что строгие рамки ОРЗД стерты. Клиентов, которые запросили удаление своих данных, просто проигнорировали, или даже обманули.

Один из таких клиентов сказал нам:

Я написал им электронное письмо в мае 2020 и попросил удалить всю информацию обо мне, которую они получили в результате многочисленных заказов. В письме я сослался на ОРЗД. Они ответили: “Спасибо, что связались с нами. Мы выполним вашу просьбу в кратчайшие сроки.”

Когда обнаружилась утечка, я перепроверил, и обнаружил себя в большой партии слитых данных (электронный адрес, почтовый адрес, номер телефона...)

Ledger должен был удостовериться, что эти личные данные автоматически удаляются по истечении определенного промежутка времени.

Некомпетентность или нечестность побудили Ledger проигнорировать эти запросы?

Теперь уже не важно - нельзя изменить того, что случилось.

Утечку данных невозможно исправить, можно только предотвратить.

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.