نشت گسترده داده های لجر خطر تعویض سیم کارت را افزایش می دهد

کیف پول سخت افزاری تولیدکننده لجر برای دومین بار در سال جاری میلادی با یک نقض گسترده اطلاعات روبرو شده است. افشای اطلاعات شخصی هزاران مشتری، خطر تعویض سیم کارت را به عنوان یک عامل حمله افزایش داده است.

برای دومین بار در سال جاری، داده های شخصی از لجر کیف پول خریداران آنلاین ریخته شده است. نشتی بود + نوشته شده در توسط چندین عضو جامعه رمزنگاری که فایل‌هایی را پیدا کردند که ادعا می‌شود حاوی «پایگاه داده کامل» مشتریان لجر حاوی ایمیل، شماره تلفن و حتی آدرس‌های فیزیکی است.

اطلاعات لجر لو رفت (دوباره)

لجر با ادعای این که این اطلاعات قدیمی مربوط به نقض سرور در ژوئن 2020 است، نقض داده را کم اهمیت جلوه داد.

موجی از حملات فیشینگ نقض را از ژوئن دنبال کرد. لجر در اصل ادعا کرد که که "فقط" اطلاعات حدود 9,500 کاربر فاش شد، اما اکنون معلوم شده است که تعداد آنها به 270,000 رسیده است.

محققین صنعت آن را "نابخشودنی" نامید;

«این نشت لجر توسط IMO غیرقابل بخشش است. شما به سادگی نمی توانید کیف پول های سخت افزاری را بفروشید و اطلاعات شخصی مشتریان خود را در یک سرور آنلاین ذخیره کنید. تجارت خود را با آنها قطع کنید، تنها راهی است که شرکت‌ها در این فضا می‌خواهند یاد بگیرند که فیزیکی ما را بگیرند تیم امنیت لاتاری به طور جدی."

لری سرماک، تحلیلگر، گفت که این نشت اخیر "بسیار بدتر" از گذشته بود.

هم‌اکنون این خطر ذاتی وجود دارد که از حملات تعویض سیم‌کارت برای هدف قرار دادن مشتریان لجر که شماره تلفن و آدرس آنها فاش شده است، استفاده شود.

تعویض سیم کارت چیست و چگونه از آن اجتناب کنیم؟

الکس کروگر، تحلیلگر صنعت، نسبت به یک موج قریب الوقوع هشدار داده است حملات مبادله سیم کارت به دنبال نشت لجر از آنجایی که شماره‌های تلفن فاش شده‌اند و معمولاً از تلفن‌های هوشمند برای احراز هویت تراکنش‌ها استفاده می‌شود، پیامدهای آن می‌تواند ویرانگر باشد.

تعویض سیم‌کارت زمانی اتفاق می‌افتد که مهاجم با اپراتور بی‌سیم/تلفن همراه قربانی تماس می‌گیرد و می‌تواند کارمند مرکز تماس را متقاعد کند که قربانی با استفاده از داده‌های شخصی دزدیده شده است.

با وجود زرادخانه ای از داده های جدید از جمله آدرس های ایمیل، خود شماره تلفن و حتی آدرس های فیزیکی کاربران لجر، این امر برای مجرمان سایبری نسبتاً آسان است.

سپس مهاجم از ارائه‌دهنده می‌خواهد سیم‌کارت جدیدی را که به شماره تلفن قربانی متصل است، روی تلفن جدیدی که در اختیار دارد، فعال کند. با این کار، آنها می توانند به اقدامات امنیتی 2FA که توسط دستگاه های Ledger و صرافی های رمزنگاری استفاده می شود دسترسی داشته باشند. اتفاق بعدی اجتناب ناپذیر است - یک کیف پول سخت افزاری خالی.

کمیسیون تجارت فدرال ایالات متحده یک راهنمای هشدار و پیشگیری که شامل پیشنهاداتی برای محدود کردن اشتراک گذاری اطلاعات شخصی است. با این حال، وقتی شرکت‌هایی که امنیت آن‌ها قابل اعتماد هستند، نمی‌توانند خودشان داده‌ها را ایمن کنند، مصرف‌کننده چه امیدی دارد؟

همانطور که تعدادی از کاربران لجر به طرز دردناکی متوجه شده اند، دارایی های رمزنگاری شده را می توان به راحتی از کیف پول های سخت افزاری به سرقت برد. وقتی این اتفاق بیفتد، قربانیان به تنهایی رنج می‌برند، زیرا معمولاً سازندگان به هیچ وجه به هیچ وجه به آن مراجعه نمی‌کنند.