Maskinvare lommebok produsenten Ledger har lidd enda et massivt databrudd for andre gang i år. Eksponeringen av tusenvis av kunders personlige informasjon har økt trusselen om SIM-bytte som en angrepsvektor.
For andre gang i år, personopplysninger fra Ledger lommebok kjøpere har blitt dumpet online. Lekkasjen var postet av flere medlemmer av kryptosamfunnet som fant filer som angivelig inneholder den 'fulle databasen' av Ledger-kunder som inneholder e-post, telefonnummer og til og med fysiske adresser.
Ledger Data Leaked (Igjen)
Ledger spilte ned databruddet ved å hevde at det var gamle data fra serverbruddet i juni 2020.
En bølge av phishing-angrep fulgte bruddet fra juni. Ledger opprinnelig hevdet at 'bare' rundt 9,500 270,000 brukerdata ble lekket, men det viser seg nå å være så mange som XNUMX XNUMX.
Bransjeforskere kalte det 'utilgivelig';
“IMO denne Ledger lekkasjen er utilgivelig. Du kan ganske enkelt ikke selge hardware-lommebøker og lagre personlig informasjon om kundene dine på en online server. Kutt av virksomheten med dem, den eneste måten selskaper i dette rommet skal lære å ta det fysiske sikkerhet alvor."
Analytiker Larry Cermak sa at denne siste lekkasjen var "mye mye verre" enn den forrige;
Det er nå også en iboende fare for at SIM-bytteangrep vil bli brukt til å målrette Ledger-kunder nå som telefonnummer og adresser har blitt lekket.
Hva er SIM-bytte og hvordan kan jeg unngå det?
Industrianalytiker Alex Krüger har advart om en forestående bølge av SIM-bytteangrep etter Ledger-lekkasjen. Siden telefonnummer ble lekket og smarttelefoner vanligvis brukes til å godkjenne transaksjoner, kan nedfallet være ødeleggende.
SIM-bytte skjer når en angriper kontakter offerets trådløse / mobile operatør og er i stand til å overbevise call center-ansatte at de er offeret ved hjelp av stjålne personlige data.
Med et arsenal av nye data inkludert e-postadresser, selve telefonnummeret og til og med fysiske adresser for Ledger-brukere, vil dette være relativt enkelt å trekke for nettkriminelle.
Angriperen ber deretter leverandøren om å aktivere et nytt SIM-kort koblet til offerets telefonnummer på en ny telefon i deres besittelse. Med dette kan de få tilgang til 2FA-sikkerhetstiltakene som brukes av Ledger-enheter og kryptobørser. Det som skjer videre er uunngåelig - en tømt maskinvarepungebok.
Den amerikanske føderale handelskommisjonen utstedte en advarsel og forebygging guide som inkluderer forslag om å begrense deling av personlig informasjon. Men når selskaper som er klarert med sikkerhet ikke kan sikre data selv, hvilket håp har forbrukeren?
Som et antall Ledger-brukere smertefullt har funnet ut, kan krypto-eiendeler lett bli stjålet fra maskinvarepunger. Ofrene overlates til å lide alene når det skjer, da det vanligvis ikke er noe å gjøre noe fra produsentene.
Kilde: https://beincrypto.com/massive-ledger-data-leak-increases-sim-swapping-threat/