کیف پول سخت افزاری تولیدکننده لجر برای دومین بار در سال جاری میلادی با یک نقض گسترده اطلاعات روبرو شده است. افشای اطلاعات شخصی هزاران مشتری، خطر تعویض سیم کارت را به عنوان یک عامل حمله افزایش داده است.
برای دومین بار در سال جاری، داده های شخصی از لجر کیف پول خریداران آنلاین ریخته شده است. نشتی بود + نوشته شده در توسط چندین عضو جامعه رمزنگاری که فایلهایی را پیدا کردند که ادعا میشود حاوی «پایگاه داده کامل» مشتریان لجر حاوی ایمیل، شماره تلفن و حتی آدرسهای فیزیکی است.
اطلاعات لجر لو رفت (دوباره)
لجر با ادعای این که این اطلاعات قدیمی مربوط به نقض سرور در ژوئن 2020 است، نقض داده را کم اهمیت جلوه داد.
موجی از حملات فیشینگ نقض را از ژوئن دنبال کرد. لجر در اصل ادعا کرد که که "فقط" اطلاعات حدود 9,500 کاربر فاش شد، اما اکنون معلوم شده است که تعداد آنها به 270,000 رسیده است.
محققین صنعت آن را "نابخشودنی" نامید;
«این نشت لجر توسط IMO غیرقابل بخشش است. شما به سادگی نمی توانید کیف پول های سخت افزاری را بفروشید و اطلاعات شخصی مشتریان خود را در یک سرور آنلاین ذخیره کنید. تجارت خود را با آنها قطع کنید، تنها راهی است که شرکتها در این فضا میخواهند یاد بگیرند که فیزیکی ما را بگیرند تیم امنیت لاتاری به طور جدی."
لری سرماک، تحلیلگر، گفت که این نشت اخیر "بسیار بدتر" از گذشته بود.
هماکنون این خطر ذاتی وجود دارد که از حملات تعویض سیمکارت برای هدف قرار دادن مشتریان لجر که شماره تلفن و آدرس آنها فاش شده است، استفاده شود.
تعویض سیم کارت چیست و چگونه از آن اجتناب کنیم؟
الکس کروگر، تحلیلگر صنعت، نسبت به یک موج قریب الوقوع هشدار داده است حملات مبادله سیم کارت به دنبال نشت لجر از آنجایی که شمارههای تلفن فاش شدهاند و معمولاً از تلفنهای هوشمند برای احراز هویت تراکنشها استفاده میشود، پیامدهای آن میتواند ویرانگر باشد.
تعویض سیمکارت زمانی اتفاق میافتد که مهاجم با اپراتور بیسیم/تلفن همراه قربانی تماس میگیرد و میتواند کارمند مرکز تماس را متقاعد کند که قربانی با استفاده از دادههای شخصی دزدیده شده است.
با وجود زرادخانه ای از داده های جدید از جمله آدرس های ایمیل، خود شماره تلفن و حتی آدرس های فیزیکی کاربران لجر، این امر برای مجرمان سایبری نسبتاً آسان است.
سپس مهاجم از ارائهدهنده میخواهد سیمکارت جدیدی را که به شماره تلفن قربانی متصل است، روی تلفن جدیدی که در اختیار دارد، فعال کند. با این کار، آنها می توانند به اقدامات امنیتی 2FA که توسط دستگاه های Ledger و صرافی های رمزنگاری استفاده می شود دسترسی داشته باشند. اتفاق بعدی اجتناب ناپذیر است - یک کیف پول سخت افزاری خالی.
کمیسیون تجارت فدرال ایالات متحده یک راهنمای هشدار و پیشگیری که شامل پیشنهاداتی برای محدود کردن اشتراک گذاری اطلاعات شخصی است. با این حال، وقتی شرکتهایی که امنیت آنها قابل اعتماد هستند، نمیتوانند خودشان دادهها را ایمن کنند، مصرفکننده چه امیدی دارد؟
همانطور که تعدادی از کاربران لجر به طرز دردناکی متوجه شده اند، دارایی های رمزنگاری شده را می توان به راحتی از کیف پول های سخت افزاری به سرقت برد. وقتی این اتفاق بیفتد، قربانیان به تنهایی رنج میبرند، زیرا معمولاً سازندگان به هیچ وجه به هیچ وجه به آن مراجعه نمیکنند.
منبع: https://beincrypto.com/massive-ledger-data-leak-increases-sim-swapping-threat/