Konsekwencje poważnego naruszenia danych przez Ledger są nadal odczuwalne prawie rok później. Jeden z autorów forum r/Ledgerwallet w serwisie Reddit, piszący pod tagiem u/jjrand i identyfikujący się jako jedna z osób, których dotyczy naruszenie, opublikował zdjęcia czegoś, co wydaje się być fałszywym portfelem Ledger Nano X otrzymanym pocztą.
Zapakowane w pozornie autentyczne opakowanie, urządzenie zawierało jednak kilka charakterystycznych znaków, które wzbudziły podejrzenia autora. Co najgorsze, do pakietu dołączył źle napisany list, który twierdził, że został podpisany przez dyrektora generalnego Ledger, Pascala Gauthiera, mówiący odbiorcy:
Nasze najlepsze roboty biznesowe
„Ze względów bezpieczeństwa wysłaliśmy Ci nowe urządzenie, które musisz przełączyć na nowe urządzenie, aby zachować bezpieczeństwo. W nowym pudełku znajduje się instrukcja, którą możesz przeczytać, aby dowiedzieć się, jak skonfigurować nowe urządzenie. Z tego powodu zmieniliśmy strukturę naszego urządzenia. Teraz gwarantujemy, że tego rodzaju naruszenie nigdy się nie powtórzy”.
Oprócz listu, u/jjrand otrzymał również fałszywą instrukcję, zawierającą instrukcje dotyczące korzystania z urządzenia i, co najważniejsze, prosząc użytkownika o wpisanie swojej prywatnej frazy odzyskiwania Ledger, aby połączyć swój portfel kryptowalutowy z nowym sprzętem. Na podstawie kolejnych zdjęć przedstawiających płytkę drukowaną urządzenia przesłanych do Reddit, badacz bezpieczeństwa Mike Grover powiedział BleepingComputer, że fałszywe urządzenie zostało naruszone:
„Wydaje się, że jest to po prostu dysk flash przypięty do Ledgera, który ma służyć do dostarczania złośliwego oprogramowania. Wszystkie elementy są po drugiej stronie, więc nie mogę potwierdzić, czy to TYLKO urządzenie do przechowywania danych, ale [...] sądząc po bardzo początkujących pracach lutowniczych, to chyba tylko gotowy mini pendrive wyjęty z jego obudowa.”
Grover podkreślił część tylnej części urządzenia, pokazując implant pamięci flash i zauważając, że „te 4 przewody łączą te same połączenia z portem USB Ledgera”.
Na podstawie analizy Grovera i BleepingComputer wydaje się, że napad ma na celu przechwycenie wprowadzonej przez użytkownika frazy odzyskiwania, aby przekierować szczegóły na urządzenie kontrolowane przez oszustów, które następnie mogą wykorzystać do kradzieży powiązanych zasobów kryptowalut.
Powiązane: Wyciek danych z księgi głównej: „Prosty błąd” ujawnił kupujących portfel kryptowalutowy o wartości 270 000
W internetowym poście z 10 maja, ale nie cytowanym przez u/jjrand, Ledger ostrzegł już klientów przed fałszywym listem i urządzeniem, stwierdzając, że:
„Fałszywy podręcznik użytkownika w pudełku Nano prosi użytkownika o podłączenie urządzenia do komputera. Aby zainicjować urządzenie, użytkownik jest następnie proszony o wprowadzenie swoich 24 słów w fałszywej aplikacji Ledger Live. To oszustwo. Nie podłączaj urządzenia do komputera i nigdy nie udostępniaj swoich 24 słów. Ledger nigdy nie poprosi Cię o udostępnienie 24-wyrazowej frazy odzyskiwania.
Chociaż ostrzeżenie jest częścią internetowej listy kampanii phishingowych Ledger, o których firma jest świadoma, nie jest jasne, czy firma skontaktowała się bezpośrednio z użytkownikami, zwłaszcza tymi, których ujawnione dane mogą sprawić, że będą bardziej podatni na podstęp.
Cointelegraph skontaktował się z Ledger w celu uzyskania komentarza i zaktualizuje ten artykuł o dalsze informacje dotyczące tego problemu.
Jak wcześniej informowaliśmy, inne konsekwencje wycieku danych obejmowały otrzymywanie przez użytkowników Ledgera wiadomości e-mail od szantażystów grożących przemocą fizyczną lub innymi atakami przestępczymi. Pierwotne naruszenie danych miało miejsce w czerwcu i lipcu 2020 r. i obejmowało 1 075 382 adresy e-mail od użytkowników subskrybujących biuletyn Ledger. Dotyczyło to w szczególności wycieku danych osobowych (w tym adresów domowych) związanych z 272.853 zamówieniami z portfela sprzętowego.
Kontynuuj czytanie w Cointelegraph