Производитель аппаратных кошельков Ledger второй раз в этом году столкнулся с утечкой данных, из-за которой личная информация владельцев кошельков попала в Интернет.
Об утечке сообщили несколько участников криптосообщества, которые заметили в сети файлы, содержащие полную базу данных покупателей устройств Ledger, совершивших покупку кошелька через официальный сайт. Данные пользователей включают адреса электронной почты, номера телефонов и даже домашние адреса.
Но сама компания Ledger преуменьшила серьезность проишествия, заявив, что это старые данные, полученные после взлома сервера в июне 2020 года (то есть во время первой утечки).
Today we were alerted to the dump of the contents of a Ledger customer database on Raidforum. We are still confirming, but early signs tell us that this indeed could be the contents of our e-commerce database from June, 2020.
— Ledger (@Ledger) December 20, 2020
Однако аналитики утверждают, что компания скрывает информацию и утечка гораздо серьезней, чем в прошлый раз. Например, после июньского взлома Ledger заявила, что пострадали около 9500 пользователей, но к текущему моменту оказалось, что пострадавших уже 270 тыс. Сейчас аналитик Ларри Чермак утверждает, что новая утечка затронула даже не тысячи пользователей, а половину всех владельцев устройств Ledger.
После первой утечки, среди владельцев Ledger прокатилась волна фишинговых атак, спама и попыток подмены SIM-карт. Если злоумышленникам известны номера телефонов и физические адреса, то произвести замену SIM-карты становится гораздо проще. Также все двухфакторные аутентификации на биржах и кошельках оказываются под угрозой.
Может возникнуть вопрос — зачем вообще компания хранит персональные данные пользователей после того, как им отправлен купленный кошелек. С адресом электронной почты все понятно — чтобы рассылать рекламные рассылки. А как насчет домашних адресов, имен и номеров телефонов? Почему бы компании не удалить их после отправки товара? На сайте Ledger есть предупреждение о том, что по юридическим причинам компания обязана хранить информацию, касающуюся контактных данных клиентов и их заказов. Максимальный срок хранения таких данных — 10 лет. Компания поясняет, что данные нужны для отчетности и различных разбирательств с клиентами.
Как уже выяснили многие пользователи Ledger, криптовалюты не защищены даже в аппаратных кошельках. Причем когда случается кража, жертвы остаются в одиночестве, поскольку производители кошельков не несут ответственности за активы пользователей.