Апаратний гаманець Виробник Ledger вдруге за цей рік зазнав масштабного порушення даних. Розкриття особистої інформації тисяч клієнтів збільшило загрозу обміну SIM як вектора атаки.
Вдруге цього року персональні дані від Ledger кошелек покупці були викинуті в Інтернеті. Витік був розміщені декількома членами криптоспільноти, які знайшли файли, які нібито містять «повну базу даних» клієнтів Ledger, що містить електронні адреси, номери телефонів і навіть фізичні адреси.
Витік даних реєстру (знову)
Леджер применшив витік даних, стверджуючи, що це старі дані, отримані в результаті зламу сервера в червні 2020 року.
Хвиля фішинг-атаки після порушення з червня. Первісна книга стверджував, що «всього» близько 9,500 даних користувачів витік, але тепер виявилося, що це аж 270,000 XNUMX.
Дослідники галузі назвав це "непробачним";
«IMO цей витік Ledger непростимий. Ви просто не можете продавати апаратні гаманці та зберігати особисту інформацію своїх клієнтів на онлайн-сервері. Припиніть бізнес з ними, тільки так компанії в цьому просторі навчаться приймати наші фізичні дані безпеку серйозно».
Аналітик Ларрі Чермак сказав, що цей останній витік «набагато гірший», ніж попередній;
Зараз також існує невід’ємна небезпека того, що атаки на заміну SIM-карти будуть використані для націлювання на клієнтів Ledger тепер, коли їх номери телефонів і адреси злилися.
Що таке заміна SIM-карти і як цього уникнути?
Промисловий аналітик Алекс Крюгер попередив про хвилю, що насувається Атаки заміни SIM-карт після витоку Ledger. Оскільки телефонні номери злилися, а смартфони зазвичай використовуються для автентифікації транзакцій, наслідки можуть бути руйнівними;
Заміна SIM-карти відбувається, коли зловмисник зв’язується з оператором бездротового/мобільного зв’язку жертви та може переконати співробітника кол-центру, що він є жертвою, використовуючи вкрадені особисті дані.
З арсеналом нових даних, включаючи адреси електронної пошти, сам номер телефону та навіть фізичні адреси для користувачів Ledger, це було б відносно легко зробити для кіберзлочинців.
Потім зловмисник просить провайдера активувати нову SIM-карту, підключену до номера телефону жертви, на новому телефоні, яким він володіє. Завдяки цьому вони можуть отримати доступ до заходів безпеки 2FA, які використовуються пристроями Ledger і криптобіржами. Те, що відбувається далі, неминуче — спустошення апаратного гаманця.
Федеральна торгова комісія США видала a посібник із попередження та профілактики який містить пропозиції щодо обмеження обміну особистою інформацією. Однак, коли компанії, яким довіряють безпеку, не можуть самі захистити дані, яка надія у споживача?
Як з жалем з’ясували деякі користувачі Ledger, криптоактиви можна легко вкрасти з апаратних гаманців. Жертви залишаються страждати наодинці, коли це трапляється, оскільки зазвичай виробники практично не можуть допомогти.
Джерело: https://beincrypto.com/massive-ledger-data-leak-increases-sim-swapping-threat/