Un “easy error” ha expuesto a los compradores de 270.000 carteras criptográficas


El pirata informático probablemente responsable de la violación de seguridad de Ledger en julio eliminó recientemente una gran cantidad de datos que revelan la información private de más de 270,000 clientes, incluidos números de teléfono y direcciones físicas. La filtración también incluyó 1 millón de correos electrónicos de los propietarios de carteras Ledger y los clientes que se inscribieron en el servicio de boletines de la compañía.

En medio de la emoción causada por el incidente, Ledger cube que el enfoque está en mejorar la infraestructura de seguridad en lugar de reembolsar a los usuarios las pérdidas. Mientras tanto, se informa que algunos clientes afectados están considerando emprender acciones legales contra la empresa en forma de demanda colectiva.

La filtración de datos de clientes de Ledger también proporciona un nuevo terreno para el debate en contra de la implementación de protocolos adicionales de cumplimiento de Conozca a su cliente. Los críticos argumentan que tales medidas fomentan los ciberataques dirigidos que tienen como objetivo divulgar información private crítica.

Más de 270.000 datos de cuentas personales se vieron comprometidos

Como se mencionó anteriormente, el hacker que se cree que es responsable de violar la base de datos de comercio electrónico de Ledger en julio puso en línea la información private de miles de usuarios afectados. La compañía ha sido acusada en las redes sociales de no brindar una mejor protección a los datos de los usuarios y de restar importancia al alcance de la violación inicial. En ese momento, el fabricante de carteras de {hardware} declaró que solo 9.500 clientes se vieron afectados por la violación de seguridad.

Ledger emitió un comunicado el 21 de diciembre indicando que la filtración cubría más materials del que podía analizar a principios de año. Sin embargo, la compañía confirmó que los fondos de los clientes permanecerán seguros y agregó: “Esta violación de datos no está relacionada con, ni afecta, nuestras billeteras de {hardware}, aplicaciones o sus fondos. Sus activos criptográficos están a salvo. Si bien esta violación es muy sincera y sinceramente lamentable, solo afecta la información relacionada con el comercio electrónico. “

En respuesta al incidente a través de Twitter, el CEO de Ledger, Pascal Gauthier, respondió notado que la filtración indica la creciente amenaza de ciberataques. Aparece en el Que hizo bitcoin Al comentar sobre la naturaleza de la infracción, Gauthier, podcast con Peter McCormack, dijo que fue el resultado de un error en la pila de comercio electrónico de la empresa.

“Es una clave API incorrecta que se codificó en el cliente de mapas para importar la base de datos de la tienda que estaba codificada en los lugares incorrectos. Por lo tanto, se codificó donde no debería haber sido codificado y la base de datos quedó expuesta a un easy ataque. Gauthier explicó.

En medio de las respuestas a la filtración, algunos expertos en ciberseguridad enfatizaron que el incidente fue otro indicio de que los administradores de la base de datos no proporcionaron cifrado al almacenar los datos del usuario. El CEO de Ledger abordó la falta de cifrado de las claves de API y agregó que fue un error honesto y no un intento deliberado de comprometer la seguridad del cliente al no aplicar hash a las claves de API.

Al comentar sobre la filtración, Ruben Merre, CEO del fabricante de carteras de {hardware} NGRAVE, señaló que el incidente reflejaba el rápido crecimiento de las empresas de cifrado a expensas de las consideraciones de seguridad. Añadió: “Se están pirateando muchas plataformas en línea, y no necesariamente debido a las habilidades de los piratas informáticos. Las plataformas a menudo tienen controles de seguridad deficientes, y mucho menos implementación. “

“Scareware” y otros factores de riesgo

La filtración de datos provocó otra ronda de ataques de phishing cuando los actores fraudulentos, ahora armados con los correos electrónicos de los usuarios de Ledger, intentan engañar a los clientes de la billetera para que divulguen su frase inicial de 24 palabras. Incluso antes del volcado de datos, estos correos electrónicos falsos se encontraban regularmente.

Sin embargo, al revelar números de teléfono y direcciones personales, los usuarios de Ledger están potencialmente más expuestos a factores de riesgo. Algunos usuarios han intentado intercambiar ataques de tarjetas SIM a sus números, y el hacker presumiblemente ha intentado comprometer los protocolos de autorización de dos factores.

Los inversores en criptomonedas han sido blanco de ataques de intercambio de SIM en el pasado. En junio, Richard Yuan Li fue acusado de conspiración para cometer fraude por cable en relación con una serie de ataques de intercambio de SIM contra más de 20 personas.

Además de las vulnerabilidades de phishing y de intercambio de SIM, la fuga de datos también abre la posibilidad de que los factores de riesgo vayan más allá del scareware y lleguen al ámbito de los ataques físicos reales. De hecho, algunos usuarios afectados por el incidente afirman haber recibido mensajes de drones solicitando pagos o arriesgarse a posibles invasiones de viviendas.

El CEO de Ledger ha reconocido la posibilidad de un ataque físico debido a la supervisión de la empresa y ha asegurado a los usuarios que sus dispositivos de billetera de {hardware} incluyen múltiples protocolos de protección para protegerse contra el robo de dinero. Estas medidas de seguridad incluyen el uso de entradas de código PIN falsas para formatear los dispositivos o una segunda contraseña que revela una cuenta ficticia para que los fondos reales del propietario estén protegidos de los malos actores.

además, el consenso Entre los expertos en seguridad de las redes sociales, los consumidores deben usar las direcciones de apartados postales u otros lugares públicos de recogida en lugar de sus direcciones de casa reales para artículos sensibles como una billetera de libro mayor. Para aquellos con números de teléfono comprometidos, el mejor curso de acción parece ser obtener un nuevo número y usar una nueva dirección de correo electrónico para notificar a los contactos importantes del cambio.

Si bien los clientes afectados siguen preocupados por las secuelas de la filtración, Ledger está trabajando para prevenir eventos futuros. En una declaración a Cointelegraph, la compañía declaró:

“Estamos haciendo todo lo que está a nuestro alcance para detener estos ataques y evitar situaciones de este tipo en el futuro. Ledger cuenta con una serie de medidas para proteger a nuestros usuarios de las víctimas de caídas y los ataques de phishing. Hemos creado una página net que explica la anatomía de los ataques de phishing para que los usuarios no se enamoren de ellos y denuncien nuevos ataques. “

Los usuarios afectados amenazan con emprender acciones legales

Algunos usuarios afectados pidieron acciones legales contra Ledger inmediatamente después de la filtración informada. La plataforma Reddit incluso tiene un subreddit “Ledger Pockets Leak” donde los usuarios pueden discutir posibles modalidades para una demanda colectiva.

Ledger tiene su sede en París y está sujeto a la legislación de la Unión Europea. En noviembre, el Parlamento Europeo aprobó cambios legislativos que permitirían a los clientes de la UE entablar demandas colectivas contra empresas que operan en la región en los próximos dos años.

Según la sentencia de la época, se pueden presentar acciones colectivas contra empresas que operan en la UE una vez que la ley entre en vigor, incluidas las relacionadas con los servicios financieros, el turismo y la protección de datos.

Los clientes de Ledger en la UE necesitan una agencia de protección al consumidor calificada u otro organismo reconocido para representar a los denunciantes. Sin embargo, a diferencia de la ley estadounidense, las reclamaciones por daños punitivos de acciones colectivas de la UE se limitan a las pérdidas reales sufridas por la clase de demandantes.

Además de que los clientes presenten una demanda contra la empresa, la filtración de datos también podría ser una invasión de la privacidad a los ojos de los reguladores europeos, especialmente bajo el Reglamento Normal de Protección de Datos de la UE. En tales situaciones, la UE puede multar hasta el 4% de sus ingresos.

Con el CEO de Ledger admitiendo que no está anonimizando adecuadamente los datos de los usuarios, la empresa podría ser examinada por funcionarios de la UE. En el considerando 26 del RGPD, todas las empresas están obligadas a garantizar la eliminación completa de toda la información que se pueda utilizar para identificar a los usuarios de su caché de datos almacenados o procesados.