Facebook 
Pinterest Didžiosios knygos duomenų nutekėjimas: „paprasta klaida“ atskleidė 270 tūkst. Kriptografinių piniginių pirkėjų
Įsilaužėlis, tikriausiai atsakingas už „Ledger“ saugumo pažeidimą liepą, neseniai išmetė didelį kiekį duomenų, atskleidžiančių daugiau nei 270 000 klientų asmeninę informaciją, įskaitant telefono numerius ir fizinius adresus. Nutekėjimas taip pat apėmė 1 milijoną „Ledger“ piniginių savininkų ir klientų el. Laiškų, kurie buvo užsiregistravę bendrovės naujienlaiškių tarnyboje..
Tarp įvykio sukelto siautulio Ledgeris teigia, kad jo tikslas yra pagerinti savo saugumo infrastruktūrą, o ne atlyginti vartotojams galimus nuostolius. Tuo tarpu kai kurie nukentėję klientai svarsto galimybę imtis teisinių veiksmų prieš bendrovę grupės ieškinio forma.
„Ledger“ klientų duomenų nutekėjimas taip pat suteikia naujų pašarų diskusijoms prieš įgyvendinant daugiau „Pažink savo klientą“ atitikties protokolų, kurių kritikai teigia, kad tokios priemonės skatina tikslines kibernetines atakas, kurių tikslas – atskleisti svarbiausius asmens duomenis.
Pažeista daugiau nei 270 000 asmeninės paskyros duomenų
Kaip minėta, įsilaužėlis, tikriausiai, buvo atsakingas už „Ledger“ elektroninės prekybos duomenų bazės pažeidimą dar liepą, tūkstančius paveiktų vartotojų asmeninę informaciją internete. Bendrovė buvo apkaltinta socialiniuose tinkluose, nes nesuteikė geresnės vartotojų duomenų apsaugos ir sumenkino pradinio pažeidimo mastą. Tuo metu aparatinės piniginės gamintojas pareiškė, kad saugumo pažeidimas paveikė tik 9 500 klientų.
Sprendžiant skirtumų, susijusių su nurodytu paveiktų žmonių skaičiumi, knyga išleistas gruodžio 21 d. pareiškimas, kuriame teigiama, kad nutekėjimas apima daugiau medžiagos, nei ji galėjo išanalizuoti metų pradžioje. Tačiau bendrovė patvirtino, kad klientų lėšos išliko saugios, ir pridūrė: „Šis duomenų pažeidimas neturi jokios nuorodos ir neturi įtakos mūsų aparatinės įrangos piniginėms, programai ar jūsų lėšoms. Jūsų kripto turtas yra saugus. Nors tai tikrai ir nuoširdžiai gaila, šis pažeidimas susijęs tik su elektroninės komercijos informacija. “
Reaguodamas į incidentą per „Twitter“, „Ledger“ generalinis direktorius Pascalas Gauthieris – pastebėjo kad nutekėjimas rodė didėjančią kibernetinių atakų grėsmę. Pasirodo „What Bitcoin Did“ tinklalaidėje su Peteriu McCormacku, Gauthieriu pakomentavo apie pažeidimo pobūdį, nurodydamas, kad tai įvyko dėl klaidos įmonės elektroninės prekybos kamino srityje.
„Tai neteisingas API raktas, kuris buvo užkoduotas žemėlapio kliente, kad būtų galima importuoti duomenų bazę iš parduotuvės, kuri buvo užkoduota neteisingose paskirties vietose, todėl buvo užkoduota ten, kur neturėjo būti užkoduota ir paleidusi duomenų bazę į paprastą ataką, “Paaiškino Gauthier.
Reaguodami į nutekėjimą, kai kurie kibernetinio saugumo ekspertai pabrėžė, kad šis įvykis buvo dar vienas rodiklis, rodantis, kad duomenų bazės administratoriai nesugebėjo šifruoti diegdami vartotojo duomenų. „Ledger“ generalinis direktorius atkreipė dėmesį į API raktų šifravimo trūkumą ir pridūrė, kad tai buvo sąžininga klaida, o ne sąmoningas bandymas pakenkti klientų saugumui nesugebant maišos API raktų.
Komentuodamas nutekėjimą Rubenas Merre’as, aparatinės piniginės gamintojo „NGRAVE“ generalinis direktorius, pažymėjo, kad šis įvykis atspindi spartų kriptografinių įmonių augimą, kuris vyksta saugumo sumetimų sąskaita. Jis pridūrė: „Tiek daug internetinių platformų įsilaužta ir nebūtinai dėl įsilaužėlių įgūdžių. Dažnai platformose yra blogas saugumo valdymas, jau nekalbant apie įgyvendinimą “.
‘Scareware’ ir kiti rizikos veiksniai
Duomenų nutekėjimas sukėlė dar vieną sukčiavimo išpuolių etapą, nes nesąžiningi veikėjai, dabar apsiginklavę „Ledger“ vartotojų el. Laiškais, bando apgauti piniginės klientus, kad jie atskleistų savo 24 žodžių pradinę frazę. Dar prieš duomenų išrašymą tokie netikri el. Laiškai buvo įprastas atvejis.
Tačiau telefonų numerių ir asmeninių adresų ekspozicija „Ledger“ vartotojams gali atverti daugiau rizikos veiksnių. Kai kurie vartotojai pranešė, kad bandė SIM pakeisti savo numerių išpuolius, o įsilaužėlis greičiausiai bandė pažeisti dviejų veiksnių autorizacijos protokolus.
Kripto investuotojai anksčiau buvo SIM keitimosi atakų taikiniai. Dar birželio mėnesį Richardas Yuanas Li buvo apkaltintas sąmokslu įvykdyti laidinį sukčiavimą, susijusį su SIM apsikeitimo atakomis, kurios buvo nukreiptos per 20 asmenų.
Be duomenų sukčiavimo ir SIM apsikeitimo išnaudojimų, duomenų nutekėjimas taip pat atveria galimybę rizikos veiksniams pereiti ne tik į gąsdinamą programinę įrangą, bet ir į realių fizinių atakų sritį. Iš tiesų, kai kurie vartotojai, nukentėję nuo incidento, teigia gavę grasinančių pranešimų, kuriuose prašoma sumokėti, arba rizikuoja įsibrovti į namus.
„Ledger“ generalinis direktorius pripažino fizinių išpuolių galimybę dėl įmonės priežiūros, taip pat patikino vartotojus, kad jų aparatinės piniginės įrenginiuose yra keli apsauginiai protokolai, apsaugantys nuo lėšų vagystės. Tarp šių saugumo priemonių yra neteisingų PIN kodo įrašų naudojimas įrenginiams formatuoti arba antrasis slaptažodis, rodantis fiktyvią sąskaitą, paliekant savininko faktines lėšas nuo blogų veikėjų.
Be to, sutarimas Tarp saugumo ekspertų socialinėje žiniasklaidoje yra tai, kad vartotojai turėtų naudoti pašto skyrių adresus ar kitas viešas paėmimo vietas, o ne savo namų adresus neskelbtiniems daiktams, pavyzdžiui, „Ledger“ kietajai piniginei. Tiems, kurie turi pažeistus telefono numerius, atrodo, kad geriausia yra gauti naują numerį ir naudoti naują el. Pašto adresą, kad praneštų apie pasikeitimą svarbiems kontaktams.
Nors paveikti klientai ir toliau kovoja su nutekėjimu, „Ledger“ teigia, kad jis stengiasi užkirsti kelią ateityje. Pareiškime „Cointelegraph“ bendrovė pareiškė:
„Mes darome viską, kas įmanoma, kad nutrauktume šias atakas ir ateityje išvengtume tokių situacijų. „Ledger“ turi tam tikrą priemonių rinkinį, kad apsaugotų mūsų vartotojus nuo sukčiavimo ir sukčiavimo išpuolių aukų. Mes sukūrėme tinklalapį, kuriame dalijamasi sukčiavimo atakų anatomija, kad vartotojai galėtų išvengti jų kritimo ir pranešti apie visas naujas atakas. “
Paveikti vartotojai grasina teisiniais veiksmais
Kai kurie nukentėję vartotojai pradėjo teisminius veiksmus prieš „Ledger“ iškart po pranešimo apie nutekėjimą. „Reddit“ platformoje yra net „Ledger wallet nutekėjimo“ subreddit, kuriame vartotojai aptaria galimus ieškinius dėl grupės ieškinio..
Didžiajai būstinei Paryžiuje vadovaujantis Europos Sąjungos įstatymai. Lapkričio mėn. Europos Parlamentas priimtas teisės aktų pakeitimai, kurie leis ES klientams per ateinančius dvejus metus iškelti ieškinius regione veikiančioms įmonėms.
Pagal tuo metu priimtą nutarimą, kai tik bus priimtas įstatymas, ES veikiančioms įmonėms bus galima pateikti ieškinius dėl ieškinių dėl finansinių paslaugų, turizmo ir duomenų apsaugos, be kita ko,.
„Ledger“ ES klientai pareikalaus, kad skundų teikėjams atstovautų kvalifikuota vartotojų teisių apsaugos įstaiga ar kitas pripažintas subjektas. Tačiau, skirtingai nei JAV įstatymai, baudžiamoji žala iš ES grupės ieškinių apsiriboja faktiniais ieškovų grupės nuostoliais..
Duomenų nutekėjimas taip pat gali būti privatumo pažeidimas Europos reguliavimo institucijų akyse, be to, kad klientai kreipiasi į teismą su įmone, ypač pagal ES bendrąjį duomenų apsaugos reglamentą. Tokiose situacijose ES turi galimybę sumokėti „Ledger“ baudą iki 4% savo pajamų.
Iš tiesų, „Ledger“ generaliniam direktoriui pripažinus, kad įmonė netinkamai anonimizuoja vartotojų duomenis, įmonė gali būti tikrinama ES pareigūnų. BDAR 26 konstatuojamoji dalis mandatus visoms įmonėms užtikrinti, kad būtų visiškai pašalinta visa informacija, pagal kurią vartotojai gali būti atpažinti iš saugomų ar apdorotų duomenų talpyklos.