Billetera de hardware El fabricante Ledger ha sufrido otra violación masiva de datos por segunda vez este año. La exposición de la información personal de miles de clientes ha aumentado la amenaza de intercambio de SIM como vector de ataque.
Por segunda vez este año, los datos personales de Ledger billeteras compradores se ha descargado en línea. La fuga fue publicado por varios miembros de la comunidad criptográfica que encontraron archivos que supuestamente contienen la 'base de datos completa' de los clientes de Ledger que contienen correos electrónicos, números de teléfono e incluso direcciones físicas.
Datos del libro mayor filtrados (nuevamente)
Ledger restó importancia a la violación de datos al afirmar que eran datos antiguos de la violación del servidor de junio de 2020.
Una ola de ataques de phishing siguió la brecha de junio. Libro mayor originalmente afirmó que "solo" se filtraron datos de alrededor de 9,500 usuarios, pero ahora resultan hasta 270,000.
Investigadores de la industria lo llamó 'imperdonable';
“En mi opinión, esta fuga de Ledger es imperdonable. Simplemente no puede vender carteras de hardware y almacenar la información personal de sus clientes en un servidor en línea. Cortar negocios con ellos, la única forma en que las empresas en este espacio aprenderán a tomar nuestro EN LINEA seriamente."
El analista Larry Cermak dijo que esta última filtración fue "mucho peor" que la anterior;
Ahora también existe el peligro inherente de que los ataques de intercambio de SIM se utilicen para apuntar a los clientes de Ledger ahora que se han filtrado sus números de teléfono y direcciones.
¿Qué es el intercambio de SIM y cómo evitarlo?
El analista de la industria Alex Krüger ha advertido sobre una inminente ola de Ataques de intercambio de SIM después de la fuga de Ledger. Dado que se filtraron números de teléfono y los teléfonos inteligentes se utilizan normalmente para autenticar transacciones, las consecuencias podrían ser devastadoras;
El intercambio de SIM ocurre cuando un atacante se pone en contacto con el proveedor de servicios inalámbricos / móviles de la víctima y puede convencer al empleado del centro de llamadas de que es la víctima que utiliza datos personales robados.
Con un arsenal de nuevos datos que incluyen direcciones de correo electrónico, el número de teléfono en sí e incluso direcciones físicas para los usuarios de Ledger, esto sería relativamente fácil de lograr para los ciberdelincuentes.
Luego, el atacante le pide al proveedor que active una nueva tarjeta SIM conectada al número de teléfono de la víctima en un nuevo teléfono en su poder. Con esto, pueden acceder a las medidas de seguridad 2FA utilizadas por los dispositivos Ledger y los intercambios de cifrado. Lo que sucede a continuación es inevitable: una billetera de hardware vacía.
La Comisión Federal de Comercio de EE. UU. Emitió una guía de advertencia y prevención que incluye sugerencias para limitar el intercambio de información personal. Sin embargo, cuando las empresas a las que se les confía seguridad no pueden proteger los datos por sí mismas, ¿qué esperanza tiene el consumidor?
Como varios usuarios de Ledger han descubierto dolorosamente, los criptoactivos se pueden robar fácilmente de las carteras de hardware. Se deja que las víctimas sufran solas cuando sucede, ya que por lo general hay poco o ningún recurso por parte de los fabricantes.
Fuente: https://beincrypto.com/massive-ledger-data-leak-increases-sim-swapping-threat/