Ledger hardware wallet: a giugno il data breach, ora il phishing

hardware wallet Ledger

A giugno scorso il data breach. Gli hacker sarebbero venuti in possesso della lista degli utenti del wallet hardware di Ledger. Da allora, e soprattutto nei giorni di rialzo del Bitcoin, è fiorente l’attività di phishing. Indirizzata appositamente a tale utenza.

Abbiamo parlato di hardware wallet e Ledger in questo articolo.

Ledger Nano X - The secure hardware wallet

Tutto è cominciato con il data breach ai server Ledger di giugno scorso. Ora, gli utenti sono talmente infastiditi da pensare di intentare una class action contro l’azienda produttrice del popolare hardware wallet.

Intanto, tranquillizziamoci. La violazione in questione è avvenuta ai danni del marketing server. Insomma, al database della società che contiene le informazioni commerciali. Nomi, email, magari anche profili di fatturazione dei clienti Ledger.

In altre parole, se abbiamo comprato un hardware wallet da Ledger prima di giugno, prima cioè del data breach, gli hacker sanno dell’acquisto. Sanno l’email dei clienti. I nomi. Gran parte dei dati di contatto commerciale. E deducono che siano custodite nei wallet poche o tante criptovalute.

Non hanno, però, alcun modo diretto di arrivare con ciò alle tasche degli utenti.

Trezor - hardware wallet

Alle chiavi private dei loro Bitcoin. Per questo, devono tentare un’azione di phishing. Sapendo che possediamo un wallet ledger, cioè, tentano con l’inganno di farsi consegnare le chiavi private o il seed del wallet. Così da poterci derubare.

Addirittura, l’hacker che si è reso responsabile del data breach ai danni di Ledger ha pubblicato online i dati personali di centinaia di migliaia di clienti. Ecco il link del post su RaidForums.com e, qui di seguito, il post ed un esempio dei dati pubblicati.

RaidForums: post su data breach a Ledger
post sul data breach a Ledger – fonte: RaidForums.com
RaidForums: esempio di dati sottratti a Ledger
esempio di dati sottratti a Ledger – fonte: RaidForums.com

Un’azione deplorevole, comunque la si guardi.

Verso cui il cliente finale ha due passi da compiere.

Primo. I clienti farebbero meglio a verificare la sicurezza del proprio wallet. Ossia, a maggior ragione ora che tutti sanno chi ha comprato un hardware wallet, NON DIFFONDERE MAI i dati relativi alle chiavi private o il seed del proprio wallet. E scaricare ogni aggiornamento al firmware del wallet solo dai canali ufficiali (e MAI PER EMAIL).

Secondo. I clienti stanno valutando di intentare una class action contro la società. Per non avere, evidentemente, protetto adeguatamente la privacy della propria clientela.

Ci conferma tutto anche Alon Gal. Dirigente dell’azienda di sicurezza Hudson Rock. Che chiarisce come l’hacker abbia sottratto informazioni su 1.075.382 indirizzi e-mail di utenti iscritti alla newsletter di Ledger. E 272.853 ordini di hardware wallet. Con informazioni che includono, come abbiamo visto nel post di sopra, indirizzi email. Indirizzi fisici. E numeri di telefono.

Gal ha così commentato sul suo profilo Twitter:

Questa fuga di notizie comporta rischi significativi per le persone colpite.

Gli individui che hanno acquistato un Ledger tendono ad avere una notevole esposizione alle criptovalute. E saranno ora soggetti a potenziali pericoli. Sia dal punto di vista informatico che fisico. Su scala più ampia di quanto non sia mai successo prima.

Opinione assolutamente condivisibile.

Gli hacker tenteranno fino alla morte di arrivare alle criptovalute. Con tecniche di phishing, innanzitutto. Email mirate e molto credibili. Dove i furfanti si spacciano per Ledger. Chiedono di comunicare il seed del wallet. O di scaricare un software (contraffatto, chiaramente) con cui aggiornare l’hardware wallet.

Ecco al riguardo la dichiarazione di Ledger.

Lavoriamo continuamente con le forze dell’ordine per perseguire gli hacker e fermare questi truffatori. Abbiamo eliminato più di 170 siti web di phishing dal momento del breach originale.

Non condividere mai le 24 parole della tua frase di recupero con nessuno, anche se finge di essere un rappresentante di Ledger. Ledger non te le chiederà mai. Ledger non vi contatterà mai tramite messaggi testuali o telefonate.

A qualcuno però queste parole non bastano. Ad esempio, ecco il post su Twitter di tale Ryan Olah.

Intenterò delle azioni legali contro di voi, molto presto.

Olah non è, evidentemente, il solo cliente insoddisfatto. Il timore generale è che, oltre alle email di phishing, in qualche modo i furfanti arrivino agli indirizzi fisico dei wallet. Nel qual caso i danni ai possessori di valute virtuali potrebbero essere più gravi.

Billfodl - seed custodian

FONTE: https://twitter.com/UnderTheBreach

Scrivi un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *