Facebook 
Pinterest Kebocoran data lejar: ‘Kesalahan mudah’ mendedahkan 270 ribu pembeli dompet kripto
Penggodam yang mungkin bertanggungjawab atas pelanggaran keselamatan Ledger pada bulan Julai baru-baru ini membuang sejumlah besar data yang mendedahkan maklumat peribadi lebih 270,000 pelanggan, termasuk nombor telefon dan alamat fizikal. Kebocoran itu juga merangkumi 1 juta e-mel pemilik dan pelanggan dompet Ledger yang mendaftar ke perkhidmatan buletin syarikat.
Di tengah-tengah kegusaran yang disebabkan oleh kejadian itu, Ledger mengatakan fokusnya adalah pada peningkatan infrastruktur keselamatannya daripada membayar kepada pengguna untuk sebarang kerugian yang mungkin berlaku. Sementara itu, beberapa pelanggan yang terlibat dilaporkan mempertimbangkan untuk mengambil tindakan undang-undang terhadap syarikat tersebut dalam bentuk tuntutan tindakan kelas.
Kebocoran data pelanggan Ledger juga menawarkan makanan segar untuk perdebatan menentang pelaksanaan lebih banyak protokol kepatuhan Tahu Pelanggan Anda, pengkritik berpendapat bahawa langkah-langkah tersebut mendorong serangan siber yang disasarkan bertujuan untuk mendedahkan data peribadi yang kritikal.
Lebih 270,000 maklumat akaun peribadi dikompromikan
Seperti disebutkan, penggodam itu mungkin bertanggungjawab untuk melanggar pangkalan data e-dagang Ledger pada bulan Julai yang lalu membuang maklumat peribadi ribuan pengguna yang terjejas secara dalam talian. Syarikat itu disalahkan di media sosial kerana tidak memberikan perlindungan data pengguna yang lebih baik dan meremehkan sejauh mana pelanggaran awal. Pada masa itu, pembuat dompet perkakasan menyatakan bahawa hanya 9,500 pelanggan yang terjejas oleh pelanggaran keselamatan.
Mengatasi perbezaan jumlah orang yang terjejas, Ledger dikeluarkan satu kenyataan pada 21 Disember yang menyatakan bahawa kebocoran itu merangkumi lebih banyak bahan daripada yang dapat dianalisis pada awal tahun ini. Namun, syarikat itu menegaskan bahawa dana pelanggan tetap aman, menambahkan: “Pelanggaran data ini tidak mempunyai kaitan atau kesan pada dompet perkakasan kami, aplikasi atau dana Anda. Aset crypto anda selamat. Walaupun sangat dikesali, pelanggaran ini hanya berkaitan dengan maklumat berkaitan e-dagang. “
Menjawab kejadian itu melalui Twitter, Ketua Pegawai Eksekutif Ledger Pascal Gauthier berkata bahawa kebocoran itu menunjukkan ancaman serangan siber yang semakin meningkat. Muncul di podcast What Bitcoin Did dengan Peter McCormack, Gauthier memberi komen mengenai sifat pelanggaran tersebut, dengan menyatakan bahawa ia adalah hasil daripada kesalahan dalam timbunan e-dagang syarikat.
“Ini adalah kunci API yang salah yang dikodkan pada klien peta untuk mengimport pangkalan data dari kedai yang dikodkan dalam penempatan yang salah dan oleh itu, dikodekan di mana tidak seharusnya dikodekan dan memaparkan pangkalan data kepada serangan sederhana, ”Jelas Gauthier.
Di tengah reaksi terhadap kebocoran itu, beberapa pakar keselamatan siber menekankan bahawa kejadian itu merupakan petunjuk lain kepada kurangnya penyebaran enkripsi oleh pentadbir pangkalan data dalam menyimpan data pengguna. Ketua Pegawai Eksekutif The Ledger menangani kekurangan penyulitan pada kunci API, sambil menambah bahawa itu adalah kesalahan yang jujur dan bukan percubaan sengaja untuk membahayakan keselamatan pelanggan dengan gagal mencuri kunci API.
Mengulas mengenai kebocoran itu, Ruben Merre, Ketua Pegawai Eksekutif pembuat dompet perkakasan NGRAVE, menyatakan bahawa insiden itu mencerminkan pertumbuhan pesat di kalangan firma crypto yang mengorbankan keselamatan. Dia menambah: “Begitu banyak platform dalam talian diretas, dan tidak semestinya kerana kemahiran penggodam. Selalunya, platform hanya mempunyai tadbir urus keselamatan yang buruk, apalagi pelaksanaannya. “
‘Scareware’ dan faktor risiko lain
Kebocoran data telah mencetuskan satu lagi serangan phishing kerana pelaku penyangak, yang kini bersenjata dengan e-mel pengguna Ledger, berusaha menipu pelanggan dompet untuk mengungkapkan ungkapan benih 24-kata mereka. Bahkan sebelum pembuangan data, e-mel palsu seperti itu biasa berlaku.
Walau bagaimanapun, pendedahan nombor telefon dan alamat peribadi berpotensi membuka pengguna Ledger kepada lebih banyak faktor risiko. Beberapa pengguna telah melaporkan percubaan menukar pertukaran SIM pada nombor mereka dengan penggodam yang mungkin cuba menjejaskan protokol kebenaran dua faktor.
Pelabur Crypto telah menjadi sasaran serangan pertukaran SIM pada masa lalu. Kembali pada bulan Jun, Richard Yuan Li didakwa melakukan konspirasi untuk melakukan penipuan wayar berkaitan dengan serangkaian serangan pertukaran SIM yang menyasarkan lebih dari 20 individu.
Selain dari eksploitasi phishing dan pertukaran SIM, kebocoran data juga membuka kemungkinan faktor risiko bergerak di luar perisian untuk memasuki serangan fizikal yang sebenarnya. Sesungguhnya, beberapa pengguna yang terjejas oleh kejadian tersebut mengaku telah menerima mesej mengancam yang meminta pembayaran atau berisiko melakukan pencerobohan di rumah.
Ketua Pegawai Eksekutif The Ledger telah mengakui kemungkinan serangan fizikal sebagai hasil pengawasan syarikat, dan juga telah memberi jaminan kepada pengguna bahawa peranti dompet perkakasan mereka mengandungi beberapa protokol perlindungan untuk melindungi terhadap pencurian dana. Di antara langkah-langkah keselamatan ini ialah penggunaan entri pincode yang salah untuk memformat peranti atau kata laluan kedua yang memaparkan akaun palsu, membiarkan dana sebenar pemiliknya selamat dari pelaku buruk.
Selain itu, kata sepakat di antara pakar keselamatan di media sosial adalah bahawa pengguna harus menggunakan alamat kotak pos atau lokasi pengambilan awam lain dan bukannya alamat rumah mereka yang sebenarnya untuk item sensitif seperti dompet keras Ledger. Bagi mereka yang mempunyai nombor telefon yang dikompromikan, garis tindakan terbaik nampaknya mendapatkan nombor baru dan menggunakan alamat e-mel baru untuk menyampaikan perubahan kepada kenalan penting.
Walaupun pelanggan yang terjejas terus menangani kejatuhan kebocoran, Ledger mengatakan ia berusaha untuk mencegah kejadian di masa depan. Dalam satu kenyataan kepada Cointelegraph, syarikat itu menyatakan:
“Kami melakukan segala daya untuk menghentikan serangan ini dan mengelakkan situasi seperti ini di masa depan. Ledger memiliki satu set langkah untuk melindungi pengguna kami dari mangsa yang jatuh ke serangan pancingan data. Kami telah menyediakan laman web yang berkongsi anatomi serangan pancingan data sehingga pengguna dapat menghindari terjadinya serangan dan melaporkan serangan baru. “
Pengguna yang terlibat mengancam tindakan undang-undang
Beberapa pengguna yang terjejas mula mengadvokasi tindakan undang-undang terhadap Ledger segera setelah kebocoran yang dilaporkan. Bahkan terdapat subreddit “Ledger wallet leak” di platform Reddit, di mana pengguna membincangkan kemungkinan kaedah untuk tuntutan tindakan kelas.
Dengan ibu pejabatnya di Paris, Ledger berada di bawah undang-undang Kesatuan Eropah. Pada bulan November, Parlimen Eropah diterima pakai pindaan perundangan yang akan membolehkan pelanggan EU membuat tuntutan tindakan kelas terhadap syarikat yang beroperasi di rantau ini dalam dua tahun akan datang.
Menurut keputusan pada waktu itu, setelah disahkan dalam undang-undang, tuntutan tindakan kelas dapat diajukan terhadap syarikat yang beroperasi di EU untuk kes-kes yang melibatkan perkhidmatan kewangan, pelancongan dan perlindungan data, antara lain.
Pelanggan EU Ledger memerlukan badan perlindungan pengguna yang berkelayakan atau beberapa entiti lain yang diiktiraf untuk mewakili pengadu. Namun, tidak seperti undang-undang A.S., ganti rugi hukuman dari tindakan undang-undang tindakan kelas EU terhad kepada kerugian sebenar yang ditanggung oleh kelas plaintif.
Selain pelanggan yang mengajukan gugatan terhadap perusahaan, kebocoran data juga merupakan pelanggaran privasi di mata pengawal selia Eropa, khususnya di bawah Peraturan Perlindungan Data Umum EU. Dalam situasi seperti itu, EU memiliki kemampuan untuk mendenda Ledger hingga 4% dari pendapatannya.
Sesungguhnya, dengan Ketua Pegawai Eksekutif Ledger mengakui bahawa syarikat tersebut menganonimkan data pengguna dengan tidak betul, syarikat itu dapat diteliti oleh pegawai EU. Resital 26 GDPR mandat semua syarikat untuk memastikan penghapusan sepenuhnya semua maklumat yang dapat mengenal pasti pengguna dari cache data yang disimpan atau diproses mereka.