Hårdvara plånbok tillverkaren Ledger har drabbats av ytterligare en massiv dataintrång för andra gången i år. Exponeringen av tusentals kunders personliga information har ökat hotet om SIM-byte som en attackvektor.
För andra gången i år, personuppgifter från Ledger plånbok köpare har dumpats online. Läckan var posted av flera medlemmar i kryptosamhället som hittade filer som påstås innehålla den 'fullständiga databasen' för Ledger-kunder som innehåller e-post, telefonnummer och till och med fysiska adresser.
Ledger Data läckt ut (igen)
Ledger spelade ned dataintrånget genom att hävda att det var gamla data från serveröverträdelsen i juni 2020.
En våg av phishingattacker följde överträdelsen från juni. Ledger ursprungligen hävdade att "bara" cirka 9,500 270,000 användardata läcktes ut, men det visar sig nu vara så många som XNUMX XNUMX.
Branschforskare kallade det 'oförlåtligt';
”IMO, detta Ledger-läckage är oförlåtligt. Du kan helt enkelt inte sälja hårdvaruplånböcker och lagra dina kunders personliga information på en online-server. Stäng av affärer med dem, det enda sättet företag i detta utrymme kommer att lära sig att ta våra fysiska säkerhet allvarligt."
Analytiker Larry Cermak sa att den senaste läckan var "mycket mycket värre" än den förra.
Det finns också nu en inneboende fara för att SIM-byteattacker kommer att användas för att rikta sig mot Ledger-kunder nu när deras telefonnummer och adresser har läckt ut.
Vad är SIM-byte och hur man undviker det?
Branschanalytikern Alex Krüger har varnat för en överhängande våg av SIM-byte av attacker efter Ledger-läckan. Eftersom telefonnummer läcktes ut och smartphones normalt används för att autentisera transaktioner kan nedfallet vara förödande.
SIM-byte sker när en angripare kontaktar offrets trådlösa / mobila operatör och kan övertyga callcenteranställd att de är offret med hjälp av stulna personuppgifter.
Med en arsenal av nya data inklusive e-postadresser, telefonnumret i sig och till och med fysiska adresser för Ledger-användare, skulle det vara relativt lätt att dra ut för cyberbrottslingar.
Angriparen ber sedan leverantören att aktivera ett nytt SIM-kort som är anslutet till offrets telefonnummer på en ny telefon i deras ägo. Med detta kan de komma åt de 2FA-säkerhetsåtgärder som används av Ledger-enheter och kryptobörser. Vad som händer härnäst är oundvikligt - en tömd hårdvaruplånbok.
US Federal Trade Commission utfärdade en varnings- och förebyggande guide som innehåller förslag på att begränsa utbytet av personlig information. Men när företag som litar på säkerhet inte kan säkra data själva, vilket hopp har konsumenten?
Som ett antal Ledger-användare smärtsamt har upptäckt kan kryptotillgångar lätt stulas från hårdvaruplånböcker. Offren lämnas att lida ensamma när det händer eftersom det vanligtvis inte finns något som helst tillvägagångssätt från tillverkarna.
Källa: https://beincrypto.com/massive-ledger-data-leak-increases-sim-swapping-threat/