Facebook 
Pinterest Fuga di dati del registro: un “semplice errore” ha rivelato 270.000 acquirenti di criptovalute
L’hacker probabilmente responsabile della violazione della sicurezza di Ledger a luglio ha recentemente scaricato una grande quantità di dati esponendo le informazioni personali di oltre 270.000 clienti, inclusi numeri di telefono e indirizzi fisici. La perdita includeva anche 1 milione di e-mail di proprietari di portafogli Ledger e clienti che si erano iscritti al servizio di newsletter dell’azienda.
In mezzo al furore causato dall’incidente, Ledger afferma che il suo obiettivo è migliorare la sua infrastruttura di sicurezza piuttosto che rimborsare gli utenti per eventuali perdite che potrebbero verificarsi. Nel frattempo, secondo quanto riferito, alcuni clienti interessati stanno valutando la possibilità di intraprendere un’azione legale contro la società sotto forma di un’azione legale collettiva.
La fuga di dati dei clienti di Ledger offre anche nuovo spunto per il dibattito contro l’implementazione di più protocolli di conformità Know Your Customer, i critici dei quali sostengono che tali misure incoraggiano attacchi informatici mirati volti a esporre dati personali critici.
Oltre 270.000 dettagli dell’account personale compromessi
Come accennato, l’hacker presumibilmente responsabile della violazione del database di e-commerce di Ledger a luglio ha scaricato online le informazioni personali di migliaia di utenti interessati. La società è stata incolpata sui social media per non aver fornito una migliore protezione dei dati degli utenti e per aver minimizzato l’entità della violazione iniziale. All’epoca, il produttore di portafogli hardware dichiarò che solo 9.500 clienti erano stati colpiti dalla violazione della sicurezza.
Affrontare la disparità nel numero segnalato di persone colpite, Ledger rilasciato una dichiarazione del 21 dicembre in cui si dichiarava che la fuga di notizie copriva più materiale di quanto non fosse in grado di analizzare all’inizio dell’anno. Tuttavia, la società ha affermato che i fondi dei clienti sono rimasti al sicuro, aggiungendo: “Questa violazione dei dati non ha alcun collegamento né impatto sui nostri portafogli hardware, sull’app o sui vostri fondi. Le tue risorse crittografiche sono al sicuro. Sebbene davvero e sinceramente deplorevole, questa violazione riguarda solo le informazioni relative all’e-commerce “.
Rispondendo all’incidente tramite Twitter, il CEO di Ledger Pascal Gauthier ha osservato che la fuga di notizie era indicativa della crescente minaccia di attacchi informatici. Apparso nel podcast What Bitcoin Did con Peter McCormack, Gauthier ha commentato sulla natura della violazione, affermando che è stata il risultato di un errore nello stack di e-commerce dell’azienda.
“È una chiave API sbagliata che è stata codificata sul map client per importare il database dal negozio che è stato codificato nei posizionamenti sbagliati e quindi, quindi, è stata codificata dove non avrebbe dovuto essere codificata ed ha esposto il database a un semplice attacco, “Ha spiegato Gauthier.
Tra le reazioni alla fuga di notizie, alcuni esperti di sicurezza informatica hanno sottolineato che l’incidente era un altro indicatore della mancanza di implementazione della crittografia da parte degli amministratori di database nell’archiviazione dei dati degli utenti. Il CEO di Ledger ha affrontato la mancanza di crittografia sulle chiavi API, aggiungendo che è stato un errore onesto e non un tentativo deliberato di mettere a repentaglio la sicurezza dei clienti non riuscendo a eseguire l’hashing delle chiavi API.
Commentando la fuga di notizie, Ruben Merre, CEO del produttore di portafogli hardware NGRAVE, ha osservato che l’incidente rifletteva una rapida crescita tra le aziende crittografiche a scapito di considerazioni sulla sicurezza. Ha aggiunto: “Così tante piattaforme online vengono violate, e non necessariamente a causa dell’abilità degli hacker. Spesso, le piattaforme hanno solo una cattiva governance della sicurezza, per non parlare dell’implementazione. “
“Scareware” e altri fattori di rischio
La fuga di dati ha innescato un altro giro di attacchi di phishing mentre gli attori canaglia, ora armati delle e-mail degli utenti di Ledger, tentano di indurre i clienti del portafoglio a rivelare la loro frase seme di 24 parole. Anche prima del dump dei dati, tali e-mail fasulle erano un evento normale.
Tuttavia, l’esposizione di numeri di telefono e indirizzi personali apre potenzialmente gli utenti di Ledger a più fattori di rischio. Alcuni utenti hanno segnalato tentativi di scambio di SIM sui loro numeri con l’hacker che presumibilmente cercava di compromettere i protocolli di autorizzazione a due fattori.
Gli investitori di criptovalute sono stati oggetto di attacchi di scambio SIM in passato. A giugno, Richard Yuan Li è stato accusato di cospirazione per commettere frodi telefoniche in relazione a una serie di attacchi di scambio SIM che hanno preso di mira oltre 20 persone.
Oltre al phishing e agli exploit di scambio SIM, la fuga di dati apre anche la possibilità che i fattori di rischio si spostino oltre lo scareware nel regno degli attacchi fisici effettivi. In effetti, alcuni utenti interessati dall’incidente affermano di aver ricevuto messaggi minacciosi che chiedono pagamenti o rischiano possibili invasioni domestiche.
Il CEO di Ledger ha riconosciuto la possibilità di attacchi fisici a seguito della supervisione dell’azienda e ha anche assicurato agli utenti che i loro dispositivi hardware wallet contenevano diversi protocolli protettivi per salvaguardarsi dal furto di fondi. Tra queste misure di sicurezza c’è l’uso di voci di codice PIN errate per formattare i dispositivi o una seconda password che mostra un account fittizio, lasciando i fondi effettivi del proprietario al sicuro da malintenzionati.
Inoltre, il consenso tra gli esperti di sicurezza sui social media è che i consumatori dovrebbero utilizzare indirizzi di caselle postali o altri luoghi di ritiro pubblici invece dei loro effettivi indirizzi di casa per articoli sensibili come un portafoglio rigido di Ledger. Per quelli con numeri di telefono compromessi, la migliore linea d’azione sembra essere ottenere un nuovo numero e utilizzare un nuovo indirizzo e-mail per comunicare la modifica a contatti importanti.
Mentre i clienti interessati continuano ad affrontare le ricadute della perdita, Ledger afferma che sta lavorando per prevenire eventi futuri. In una dichiarazione a Cointelegraph, la società ha dichiarato:
“Stiamo facendo tutto quanto in nostro potere per porre fine a questi attacchi ed evitare situazioni come questa in futuro. Ledger dispone di una serie di misure per proteggere i nostri utenti dalle vittime di attacchi di phishing. Abbiamo creato una pagina web che condivide l’anatomia degli attacchi di phishing in modo che gli utenti possano evitare di innamorarsi di loro e segnalare eventuali nuovi attacchi “.
Gli utenti interessati minacciano azioni legali
Alcuni utenti interessati hanno iniziato a sostenere un’azione legale contro Ledger immediatamente dopo la perdita segnalata. C’è anche un subreddit “Ledger wallet leak” sulla piattaforma Reddit, in cui gli utenti stanno discutendo le possibili modalità per una class action.
Con sede a Parigi, Ledger è soggetto alle leggi dell’Unione Europea. A novembre, il Parlamento europeo adottato modifiche legislative che consentiranno ai clienti dell’UE di avviare azioni legali collettive contro le società che operano nella regione entro i prossimi due anni.
Secondo la sentenza all’epoca, una volta trasformata in legge, le azioni legali possono essere intentate contro società che operano nell’UE per casi che coinvolgono servizi finanziari, turismo e protezione dei dati, tra gli altri..
I clienti dell’UE di Ledger richiederanno un ente qualificato per la protezione dei consumatori o qualche altro ente riconosciuto per rappresentare i denuncianti. Tuttavia, a differenza delle leggi statunitensi, i danni punitivi derivanti da azioni legali collettive dell’UE sono limitati alle perdite effettive sostenute dalla classe di querelanti.
Oltre ai clienti che intendono intentare una causa contro la società, la fuga di dati potrebbe anche costituire una violazione della privacy agli occhi dei regolatori europei, in particolare ai sensi del Regolamento generale sulla protezione dei dati dell’UE. In tali situazioni, l’UE ha la possibilità di multare Ledger fino al 4% delle sue entrate.
In effetti, con il CEO di Ledger che ha ammesso che la società ha anonimizzato i dati degli utenti in modo improprio, la società potrebbe essere sottoposta al controllo dei funzionari dell’UE. Considerando 26 del GDPR mandati tutte le aziende per garantire la rimozione completa di tutte le informazioni che possono identificare gli utenti dalla loro cache di dati memorizzati o elaborati.