Hardware tegnebog producent Ledger har lidt anden massiv databrud for anden gang i år. Eksponeringen af tusinder af kunders personlige oplysninger har øget truslen om SIM-udskiftning som en angrepsvektor.
For anden gang i år personoplysninger fra Ledger pung købere er blevet dumpet online. Lækagen var indsendt af flere medlemmer af kryptosamfundet, der fandt filer, der angiveligt indeholder den 'fulde database' af Ledger-kunder, der indeholder e-mails, telefonnumre og endda fysiske adresser.
Ledger Data lækket (igen)
Ledger nedlagde databruddet ved at hævde, at det var gamle data fra serverbruddet i juni 2020.
En bølge af phishing-angreb fulgte bruddet fra juni. Ledger oprindeligt hævdede at 'kun' omkring 9,500 brugerdata blev lækket, men det viser sig nu at være så mange som 270,000.
Industri forskere kaldte det 'utilgiveligt';
”IMO denne Ledger lækage er utilgivelig. Du kan simpelthen ikke sælge hardware-tegnebøger og gemme dine kunders personlige oplysninger på en online server. Afskær forretning med dem, den eneste måde, virksomheder i dette rum lærer at tage vores fysiske på sikkerhed helt seriøst."
Analytiker Larry Cermak sagde, at denne seneste lækage var 'meget meget værre' end den sidste;
Der er også nu en iboende fare for, at SIM-swapping-angreb vil blive brugt til at målrette mod Ledger-kunder, nu når deres telefonnumre og adresser er lækket.
Hvad er SIM-swapping og hvordan man undgår det?
Industrianalytiker Alex Krüger har advaret om en forestående bølge af SIM-bytteangreb efter Ledger-lækagen. Da telefonnumre var lækket, og smartphones normalt bruges til at godkende transaktioner, kan nedfaldet være ødelæggende;
SIM-udskiftning sker, når en angriber kontakter ofrets trådløse / mobile operatør og er i stand til at overbevise callcentermedarbejderen om, at de er offeret ved hjælp af stjålne personlige data.
Med et arsenal af nye data, herunder e-mail-adresser, selve telefonnummeret og endda fysiske adresser til Ledger-brugere, ville dette være relativt let at trække for cyberkriminelle.
Angriberen beder derefter udbyderen om at aktivere et nyt SIM-kort tilsluttet offerets telefonnummer på en ny telefon i deres besiddelse. Med dette kan de få adgang til de 2FA-sikkerhedsforanstaltninger, der bruges af Ledger-enheder og kryptobørser. Hvad der sker næste er uundgåeligt - en tømt hardware-tegnebog.
Den amerikanske Federal Trade Commission udstedte en advarsel og forebyggelse guide som inkluderer forslag til begrænsning af deling af personlige oplysninger. Men når virksomheder, der har tillid til sikkerhed, ikke selv kan sikre data, hvilket håb har forbrugeren?
Som et antal Ledger-brugere smertefuldt har fundet ud af, kan kryptoaktiver let stjæles fra hardware-tegnebøger. Ofrene overlades til at lide alene, når det sker, da der normalt ikke er nogen som helst anvendelse fra producenterne.
Kilde: https://beincrypto.com/massive-ledger-data-leak-increases-sim-swapping-threat/