De gevolgen van het grote datalek van Ledger zijn bijna een jaar later nog steeds voelbaar. Een bijdrager aan het r/Ledgerwallet-forum op Reddit, die schrijft onder de tag u/jjrand en zichzelf identificeert als een van de betrokkenen bij de inbreuk, heeft afbeeldingen geplaatst van wat lijkt op een nep Ledger Nano X-portemonnee die per post is ontvangen.
Verpakt in een ogenschijnlijk authentieke verpakking, bevatte het apparaat niettemin verschillende verklikkers die het vermoeden van de bijdrager wekten. Het meest schokkende was dat het pakket samenkwam met een slecht geschreven brief die beweerde te zijn ondertekend door Ledger-CEO Pascal Gauthier, waarin de ontvanger werd verteld:
Onze beste handelsrobots
“Om veiligheidsredenen hebben we je een nieuw apparaat gestuurd, je moet overschakelen naar een nieuw apparaat om veilig te blijven. Er zit een handleiding in uw nieuwe doos die u kunt lezen om te leren hoe u uw nieuwe apparaat instelt. Om deze reden hebben we onze apparaatstructuur gewijzigd. We garanderen nu dat dit soort inbreuk nooit meer zal gebeuren.”
Afgezien van de brief ontving u/jjrand ook een valse handleiding, met instructies over hoe het apparaat te gebruiken en, cruciaal, de gebruiker te vragen om hun persoonlijke Ledger-herstelzin in te voeren om hun cryptocurrency-portemonnee te verbinden met de nieuwe hardware. Op basis van verdere afbeeldingen van de printplaat van het apparaat, geüpload naar Reddit, vertelde beveiligingsonderzoeker Mike Grover aan BleepingComputer dat er met het nepapparaat was geknoeid:
"Dit lijkt een simpele flashdrive te zijn die aan de Ledger is vastgemaakt met als doel een soort van malware-levering te zijn. Alle componenten bevinden zich aan de andere kant, dus ik kan niet bevestigen of het ALLEEN een opslagapparaat is, maar [...] afgaand op het zeer beginnende soldeerwerk, is het waarschijnlijk gewoon een standaard mini-flashdrive die is verwijderd uit zijn omhulsel.”
Grover benadrukte een gedeelte van de achterkant van het apparaat, waarop het implantaat van de flashdrive te zien was en merkte op dat "die 4 draden dezelfde verbindingen voor de USB-poort van de Ledger meeliften."
Op basis van de analyse van Grover en BleepingComputer lijkt het erop dat de overval is ontworpen om de ingevoerde herstelzin van de gebruiker te onderscheppen om de details om te leiden naar een apparaat dat wordt beheerd door de oplichters, dat ze vervolgens kunnen gebruiken om de bijbehorende cryptocurrency-holdings te stelen.
Gerelateerd: Ledger-gegevenslek: een 'eenvoudige fout' onthulde 270K crypto-portemonneekopers
In een online bericht van 10 mei, maar niet geciteerd door u/jjrand, had Ledger klanten al gewaarschuwd voor de nepbrief en het nepapparaat, waarin stond dat:
“De valse gebruikershandleiding in de doos van de Nano vraagt de gebruiker om het apparaat op een computer aan te sluiten. Om het apparaat te initialiseren, wordt de gebruiker vervolgens gevraagd om zijn 24 woorden in te voeren in een nep Ledger Live-toepassing. Dit is oplichterij. Sluit het apparaat niet aan op uw computer en deel nooit uw 24 woorden. Ledger zal u nooit vragen om uw herstelzin van 24 woorden te delen.
Hoewel de waarschuwing is opgenomen in Ledger's online lijst met phishing-campagnes waarvan het bedrijf op de hoogte is, is het onduidelijk of het bedrijf rechtstreeks contact heeft opgenomen met gebruikers, met name degenen van wie de gelekte details hen vatbaarder maken voor de list.
Cointelegraph heeft contact opgenomen met Ledger voor commentaar en zal dit artikel bijwerken met meer informatie over dit probleem.
Zoals eerder gemeld, waren andere gevolgen van het datalek onder meer dat Ledger-gebruikers e-mails ontvangen van afpersers die dreigen met fysiek geweld of andere criminele aanvallen. Het oorspronkelijke datalek vond plaats in juni en juli 2020 en omvatte 1.075.382 e-mailadressen van gebruikers die waren geabonneerd op de Ledger-nieuwsbrief. Het ging met name ook om het lekken van persoonlijke informatie (inclusief thuisadressen) in verband met 272.853 hardware-walletsbestellingen.
Lees verder op CoinTelegraph
