SIM wechselt zu physischen Bedrohungen: Ledger Leak hat schlimme Konsequenzen
Sobald er erfuhr, dass er zu den Tausenden von Ledger-Kunden gehörte, deren persönliche Informationen am Sonntag online veröffentlicht worden waren, handelte JimboChewdip, wie er auf Twitter genannt wird, schnell. Nicht schnell genug.
JCD, wie wir ihn nennen werden, hat am Montagmorgen seine Passwörter geändert, um eine Benachrichtigung zu erhalten, dass einem seiner 2FA-Konten (Two-Factor Authentication) ein neues Gerät hinzugefügt wurde. Dann versuchte er sich in seine E-Mail einzuloggen. Es war verschlossen.
"Innerhalb weniger Minuten erhielt ich Benachrichtigungen über Kennwortänderungen bei Coinbase, Binance und Dropbox", sagte er später gegenüber CoinDesk. "Ich habe versucht, T-Mobile über WLAN anzurufen, aber es funktioniert nicht, wenn die SIM-Karte deaktiviert ist. Deshalb habe ich mich auf Twitter an sie gewandt und jemanden vom Support gebeten, mein Konto zu sperren."
Zur gleichen Zeit postete JCD ein Twitter-Thread über die Situation.
„Als ich auf mein Coinbase Pro-Konto kam und den Kontostand überprüfte, gab es einen Verkauf der Münzen, an denen ich festhielt Bitcoin und eine Auszahlung meines gesamten Kontos “, sagte er. "Keine Antwort vom Coinbase-Support." Kryptowährung im Wert von rund 2.000 US-Dollar war weg.
Er kann den SIM-Swap-Angriff zwar nicht beweisen gegen ihn hingerichtet war mit dem Ledger-Leck verbunden, "das Timing ist sicherlich verdächtig", sagte er.
Das Datenmüll Jeder kann 1 Million E-Mail-Adressen und 272.000 Namen, Postanschriften und Telefonnummern von Personen sehen, die Ledger-Geräte bestellt haben, in denen die privaten Schlüssel für Brieftaschen mit Kryptowährung gespeichert sind. Die Zahl der Betroffenen war viel höher als die 9.500 Das Unternehmen schätzte, als es im Juli einen Hack bekannt gab.
Der Vorfall zeigt den konkreten Schaden, den solche Lecks verursachen können, die vielfältigen Möglichkeiten, mit denen die Daten von Personen kompromittiert werden können, und wirft Fragen auf, wie und ob bestimmte Daten überhaupt aufbewahrt werden sollten. Wenn jemand in ein zentrales Repository mit vertraulichen Informationen gelangt, ist alles für die Aufnahme und anschließende Weitergabe vorhanden.
Hacker nutzen die Situation auf vielfältige Weise, einschließlich der Verwendung der Daten, um SIM-Swap-Angriffe wie gegen JCD durchzuführen. Bei einem solchen Angriff werden Mitarbeiter eines Telekommunikationsanbieters dazu verleitet, die Telefonnummern des Opfers auf das Gerät des Angreifers zu portieren. Auf diese Weise kann der Angreifer 2FA verwenden oder umgehen, um beispielsweise auf Krypto-Wallets oder Social-Media-Profile zuzugreifen.
Noch bedrohlicher ist, dass einige Benutzer physische Bedrohungen erhalten haben. In einem Fall hat ein Benutzer angeblich eine erhalten E-Mail von jemandem versuchen, ihre Kryptowährung zu erpressen, indem sie sagen, sie hätten "keine Angst, in ihr Haus einzudringen".
Je bereue
Mit der US-Regierung und einigen Top-Cybersicherheitsunternehmen durch eine monatelange Cyberspionagekampagne verletztRegierungsmandate zur Vorratsdatenspeicherung müssen möglicherweise erneut geprüft werden.
„Datenverletzungen sind äußerst häufig. Der einzige Unterschied zu dieser (Ledger-) Verletzung besteht darin, dass die Betroffenen saftige, hochwertige Ziele für Spear Phisher und Betrüger sind “, sagte Jameson Lopp, Chief Technology Officer (CTO) beim Start von Crypto Custody Casa. "Als solche werden Kriminelle extremere Anstrengungen unternehmen als bei anderen Datenschutzverletzungen, da die potenzielle Auszahlung pro Zielbenutzer viel höher ist."
Am Dienstag hat Ledger in Paris getwittert dass „seit gestern eine neue Welle von Phishing-Angriffen stattgefunden hat, die unsere Benutzer physisch bedrohen“ und dass die Opfer niemals das Lösegeld zahlen sollten.
In einem Interview betonte Pascal Gauthier, CEO von Ledger, in erster Linie, wie leid es ihm tat, dass er gehackt hatte und das nachfolgende Leck überhaupt erst aufgetreten war.
"Ich möchte betonen, wie leid es uns tut, weil ich denke, dass es für unsere Kunden wichtig ist, zu wissen, dass sich das, was sie betrifft, auf uns auswirkt", sagte er.
Er sagte, der erste Hack sei teilweise darauf zurückzuführen, dass das Unternehmen so schnell skaliert habe und dass er und der neue Chief Information Security Officer Matt Johnson eine neue Datenrichtlinie ankündigen und planen würden, die Lecks im Januar weiter zu beheben.
Gauthier sagte, die physischen Bedrohungen seien wahrscheinlich Phishing-Versuche und das Unternehmen habe diese E-Mails angeblich in mehreren Sprachen verschickt, was bedeutet, dass die Wahrscheinlichkeit, dass jemand tatsächlich versuchen würde, einen Benutzer physisch anzugreifen, gering sei.
"Wenn es um Krypto geht, ist es viel billiger und einfacher, einen Phishing-Angriff von zu Hause aus durchzuführen, als jemanden bei sich zu Hause anzugreifen", sagte er. "Angreifer werden die billigsten Angriffe ausführen, und Phishing ist definitiv der billigste Angriff, bevor sie etwas anderes tun."
Wie andere Unternehmen anscheinend als Reaktion auf das Leck angekündigt hatten, würden sie dies tun Benutzerdaten löschen Nach einer gewissen Zeit stellte Gauthier die Rechtmäßigkeit solcher Maßnahmen in Frage, da die steuerlichen Anforderungen die Aufbewahrung einer Teilmenge der Benutzerdaten für 10 Jahre vorschrieben, sagte er.
Er bemerkte auch, dass Datenverletzungen stetig zugenommen haben, und dies ist ein Problem, das über Leger hinausgeht.
"Das Problem des Hackens und des Durchsickerns Ihrer Daten ist nicht so sehr eine Frage des Falls, sondern vielmehr des Zeitpunkts", sagte er.
"So schnell wie möglich löschen"
Der Kryptohändler Scott Melker brachte JCD mit Haseeb Awan in Kontakt, dem CEO von Efani, einem Cybersicherheitsunternehmen, das sich auf die Verhinderung von SIM-Swap-Angriffen konzentriert. Efani bietet 11 Authentifizierungsebenen für SIM-Karten, aber jedes Konto verfügt über mindestens sieben Authentifizierungsschritte, wenn ein Benutzer die SIM-Karte ersetzen möchte.
Awan half JCD, seine Nummer und PIN in kurzer Zeit zu sichern. Wenn er es nicht getan hätte, sagte JCD, hätte "viel mehr Schaden angerichtet werden können".
„Mit dem Ledger-Hack haben wir festgestellt, dass sich das Anrufvolumen unserer Opfer-Helpline mindestens verzehnfacht hat, und wir gehen davon aus, dass es mit dem bevorstehenden Urlaub weiter zunehmen wird, da die Opfer von ihren bestehenden Spediteuren nicht unterstützt werden ", Sagte Awan. "Kriminelle greifen in der Regel außerhalb der Geschäftszeiten oder an Feiertagen an, da die Opfer im Allgemeinen nicht auf ihre Telefone achten und aufgrund von Feiertagen nicht auf Support zugreifen können."
Weiterlesen: "Überzeugender" Phishing-Angriff richtet sich an Benutzer der Ledger-Hardware-Brieftasche
Laut Awan ist die Hauptbuchliste ein Honeypot potenzieller Ziele für Kriminelle, die in den nächsten Monaten für verschiedene Arten von Angriffen verwendet werden. Zu den häufigsten gehören wahrscheinlich SIM-Swaps für Mobiltelefone oder E-Mail-Kompromisse. Fälle von Identitätsdiebstahl oder der Zugriff auf die physische Adresse einer Person seien ein geringeres Risiko, sagte er.
Lopp sagte, seine größte Erkenntnis aus dem Ledger-Datendump sei, dass „Informationen frei sein wollen. Es ist grundsätzlich unmöglich zu garantieren, dass von Ihnen gespeicherte Daten nicht verloren gehen. "
Der einzige narrensichere Weg, um Lecks zu verhindern, besteht darin, überhaupt keine Daten zu sammeln, sagte er. Die zweitbeste Option ist zu Halten Sie Daten nur so lange, wie sie benötigt werden und löschen Sie es automatisch, sobald Sie es nicht mehr verwenden, etwas, das Gauthier laut Ledger untersucht.
Lopp fügte hinzu, dass es zwar völlig verständlich ist, E-Mail-Adressen langfristig für Marketingzwecke zu halten, die Namen, physischen Adressen und Telefonnummern der Kunden nach Abschluss einer Lieferung und Ablauf des Rückgabefensters jedoch schwerer zu rechtfertigen sind.
Und es hätte schlimmer kommen können: Die durchgesickerten Daten stammten nur aus den letzten ein oder zwei Bestellungen, nicht aus der gesamten Bestellhistorie von 2014, als Ledger sein erstes Produkt herausbrachte.
"Sammeln Sie nicht, was Sie nicht schützen können. Persönliche Informationen sollten wie Giftmüll behandelt werden “, sagte Lopp. "Wenn Sie personenbezogene Daten (PII) für geschäftliche Zwecke sammeln müssen, löschen Sie diese so schnell wie möglich, um die Datenmenge, die Sie zu jedem Zeitpunkt zur Verfügung haben, zu minimieren."