Хакер, взломавший маркетинговую базу данных провайдера аппаратного кошелька Ledger в начале этого года, опубликовал личные данные тысяч пользователей, что побудило многих пригрозить фирме коллективным иском.
Согласно твиту Алона Гала (Alon Gal) из фирмы по сетевой безопасности Hudson Rock, хакер, предположительно стоящий за утечкой личных данных из аппаратного кошелька Ledger в июне, сделал всю полученную информацию доступной в Интернете. Это, как сообщается, включает 1 075 382 адреса электронной почты пользователей, подписанных на информационный бюллетень Ledger и 272 853 заказа на аппаратный кошелек с информацией, включая адреса электронной почты, физические адреса и номера телефонов.
ALERT: Threat actor just dumped @Ledger's database which have been circling around for the past few months.
The database contains information such as Emails, Physical Addresses, Phone numbers and more information on 272,000 Ledger buyers and Emails of 1,000,000 additional users. pic.twitter.com/Sv9cQwhuNy
— Alon Gal (Under the Breach) (@UnderTheBreach) December 20, 2020
«Эта утечка представляет серьезную опасность для пострадавших от нее людей», — сказал Гал. «Лица, которые приобрели Ledger, как правило, имеют высокую чистую стоимость в криптовалютах и теперь будут подвергаться как кибер-преследованиям, так и физическим преследованиям в более крупных масштабах, чем это было раньше».
В ответе на Twitter Ledger сказал, что «первые признаки», похоже, подтверждают, что обнародованная информация была получена в результате утечки данных в июне, которая скомпрометировала личные данные многих его пользователей. После новостей о взломе многие пользователи Ledger сообщили о попытках фишинга. Некоторые заявили, что получили убедительные электронные письма с просьбой загрузить новую версию программного обеспечения Ledger.
«Мы постоянно работаем с правоохранительными органами, чтобы преследовать хакеров и остановить этих мошенников», — заявили представители Ledger. «С момента первого взлома мы заблокировали более 170 фишинговых сайтов».
После нескольких месяцев сообщений о фишинговых атаках многие пользователи, похоже, остались недовольны ответом Ledger.
«Если какие-то юристы захотят подать групповой иск, я уверен, что многие из нас примут участие», — сказал пользователь Twitter Райан Олах. «Сейчас это стало в 10 000 раз хуже».
I’m going to take legal action against you very soon.
— a Friendly Duck. HODL (@DuckHodl) December 20, 2020
Хотя токены, скорее всего, не находятся под угрозой выкачивания из кошельков Ledger, пользователи потенциально могут поставить под угрозу свои собственные средства, поддавшись таким попыткам фишинга, отправленным на затронутые электронные письма или номера телефонов. Многие сообщили, что такие атаки пытались заставить их отказаться от исходных фраз, что побудило Ledger повторить:
«Никогда не сообщайте 24 слова вашей фразы восстановления никому, даже если они притворяются представителем Ledger. Ledger никогда не попросит вас о них. Ledger никогда не свяжется с вами через текстовые сообщения или по телефону».
Однако некоторые пользователи Ledger указали, что фишинговые атаки — лишь одна из возможных угроз, с которыми они могут столкнуться теперь, когда их физические адреса являются общедоступными. Люди с большим количеством крипто-холдингов рискуют быть похищенными и удерживаемыми до тех пор, пока они не отдадут свои токены, как это было в случае с сингапурским предпринимателем Марком Ченгом (Mark Cheng) в январе.
«Это серьезное нарушение, и я обеспокоен тем, что у людей теперь есть наши адреса», — сказал пользователь Twitter Пол Смит. «Что мешает им стучаться в наши двери? Честно говоря, недостаточно просто извиниться».
