Die Folgen der großen Datenpanne von Ledger sind auch fast ein Jahr später noch zu spüren. Ein Mitwirkender des r/Ledgerwallet-Forums auf Reddit, der unter dem Tag u/jjrand schrieb und sich selbst als einer der Betroffenen identifizierte, hat Bilder einer scheinbar gefälschten Ledger Nano X-Wallet gepostet, die per Post erhalten wurde.
Eingehüllt in eine scheinbar authentische Verpackung enthielt das Gerät dennoch mehrere verräterische Anzeichen, die den Verdacht des Mitwirkenden weckten. Am schlimmsten war, dass dem Paket ein schlecht geschriebener Brief beigefügt war, der behauptete, von Ledger-CEO Pascal Gauthier unterschrieben zu sein, in dem es seinem Empfänger sagte:
Unsere Top Trading Bots
„Aus Sicherheitsgründen haben wir Ihnen ein neues Gerät geschickt. Sie müssen zu einem neuen Gerät wechseln, um sicher zu bleiben. In Ihrer neuen Box befindet sich eine Anleitung, die Sie lesen können, um zu erfahren, wie Sie Ihr neues Gerät einrichten. Aus diesem Grund haben wir unsere Gerätestruktur geändert. Wir garantieren jetzt, dass so ein Verstoß nie wieder passieren wird.“
Neben dem Brief erhielt u/jjrand auch ein gefälschtes Handbuch mit Anweisungen zur Verwendung des Geräts und vor allem, dass der Benutzer aufgefordert wurde, seine private Ledger-Wiederherstellungsphrase einzugeben, um seine Kryptowährungs-Wallet mit der neuen Hardware zu verbinden. Auf der Grundlage weiterer Bilder, die die auf Reddit hochgeladene Platine des Geräts zeigen, teilte der Sicherheitsforscher Mike Grover BleepingComputer mit, dass das gefälschte Gerät manipuliert wurde:
„Dies scheint ein einfaches Flash-Laufwerk zu sein, das an das Ledger geschnallt ist, um eine Art Malware-Lieferung zu ermöglichen. Alle Komponenten befinden sich auf der anderen Seite, daher kann ich nicht bestätigen, ob es NUR ein Speichergerät ist, aber [...] nach den Lötarbeiten für Anfänger zu urteilen, ist es wahrscheinlich nur ein Mini-Flash-Laufwerk von der Stange, das aus dem Regal entfernt wurde sein Gehäuse.“
Grover hob einen Abschnitt der Rückseite des Geräts hervor, zeigte das Flash-Laufwerksimplantat und stellte fest, dass "diese 4 Drähte die gleichen Anschlüsse für den USB-Port des Ledgers tragen".
Auf der Grundlage der Analyse von Grover und BleepingComputer scheint es, dass der Überfall darauf abzielt, die eingegebene Wiederherstellungsphrase des Benutzers abzufangen, um die Details an ein von den Betrügern kontrolliertes Gerät umzuleiten, mit dem sie dann die zugehörigen Kryptowährungsbestände stehlen können.
Verwandte: Ledger-Datenleck: Ein „einfacher Fehler“ enthüllte 270.000 Krypto-Wallet-Käufer
In einem Online-Beitrag vom 10. Mai, der von u/jjrand nicht zitiert wurde, hatte Ledger bereits Kunden vor dem gefälschten Brief und dem gefälschten Gerät gewarnt:
„Die gefälschte Bedienungsanleitung in der Verpackung des Nano fordert den Benutzer auf, das Gerät an einen Computer anzuschließen. Um das Gerät zu initialisieren, wird der Benutzer dann aufgefordert, seine 24 Wörter in eine gefälschte Ledger Live-Anwendung einzugeben. Dies ist ein Betrug. Schließen Sie das Gerät nicht an Ihren Computer an und teilen Sie niemals Ihre 24 Wörter. Ledger wird Sie niemals bitten, Ihre 24-Wörter-Wiederherstellungsphrase zu teilen.“
Die Warnung ist zwar Teil der Online-Liste der Phishing-Kampagnen von Ledger, die dem Unternehmen bekannt sind, es ist jedoch unklar, ob das Unternehmen Benutzer direkt kontaktiert hat, insbesondere diejenigen, deren durchgesickerte Details sie anfälliger für die List machen.
Cointelegraph hat Ledger um einen Kommentar gebeten und wird diesen Artikel mit weiteren Informationen zu diesem Problem aktualisieren.
Wie bereits berichtet, haben die Ledger-Nutzer zu weiteren Folgen des Datenlecks E-Mails von Erpressern erhalten, die mit körperlicher Gewalt oder anderen kriminellen Angriffen drohen. Die ursprüngliche Datenschutzverletzung ereignete sich im Juni und Juli 2020 und umfasste 1.075.382 E-Mail-Adressen von Nutzern, die den Ledger-Newsletter abonniert haben. Es ging insbesondere auch um den Verlust persönlicher Daten (einschließlich Privatadressen) im Zusammenhang mit 272.853 Hardware-Wallet-Bestellungen.
Lesen Sie weiter bei Cointelegraph