Erneuter Leak von Ledger-Nutzerdaten

Der Hardware-Wallet-Hersteller Ledger hat zum zweiten Mal in diesem Jahr eine massive Datenpanne erlitten. Die Aufdeckung der persönlichen Daten tausender Kunden hat die Bedrohung durch „SIM-Swapping“ als Angriffsvektor erhöht.

Zum zweiten Mal in diesem Jahr wurden persönliche Daten von Ledger-Wallet-Käufern online veröffentlicht. Die Datenpanne wurde von mehreren Mitgliedern der Krypto-Community gepostet, die Dateien mit der „vollständigen Datenbank“ von Ledger-Kunden gefunden haben. Darin enthalten sind E-Mails, Telefonnummern und sogar physische Adressen.

Erhebliches Datenleck

Ledger nahm auf Twitter Stellung und behauptete, es handle sich um alte Daten aus dem Server-Hack vom Juni 2020.

Eine Welle von Phishing-Attacken folgte auf den Angriff im Juni. Ledger behauptete ursprünglich, dass nur etwa 9’500 Benutzer betroffen waren. Nun stellt sich jedoch heraus, dass es womöglich bis zu 270’000 sein könnten. Branchenexperten nannten den Vorfall „unverzeihlich“. Hasu, Autor für Deribit Insights, war der Meinung: „Man kann einfach nicht Hardware-Wallets verkaufen und die persönlichen Daten seiner Kunden auf einem Online-Server speichern.“ Um Ledger dazu zu bringen, Datensicherheit ernster zu nehmen, empfahl er, die Zusammenarbeit mit ihnen komplett abzubrechen.

Analyst Larry Cermak, Director of Research bei The Block, sagte, dass dieses letzte Datenleck „viel, viel schlimmer“ sei als das letzte;

Es besteht nun auch die Gefahr, dass Kunden von Ledger ins Visier von SIM-Swapping-Angriffen geraten, nachdem ihre Telefonnummern und Adressen an die Öffentlichkeit gelangt sind.

Was ist SIM-Swapping und wie kann man es vermeiden?

SIM-Swapping erfolgt, wenn ein Angreifer den Mobilfunkanbieter des Opfers kontaktiert und den Mitarbeiter des Call Centers davon überzeugt, dass er das Opfer ist, indem er gestohlene persönliche Daten verwendet. Mit einem Arsenal an neuen Daten, einschliesslich E-Mail-Adressen, der Telefonnummer und sogar physischen Adressen von Ledger-Benutzern, wäre dies für Cyberkriminelle relativ einfach zu bewerkstelligen.

Der Angreifer bittet dann den Anbieter, eine neue SIM-Karte, die mit der Telefonnummer des Opfers verbunden ist, auf seinem eigenen Telefon zu aktivieren. Damit können sie auf die 2-Faktor-Authentifizierung zugreifen, die von Ledger-Geräten und Krypto-Börsen verwendet werden. Was dann passiert, ist unvermeidlich – eine leergeräumte Hardware-Wallet.

Branchenanalyst Alex Krüger hat nach dem Ledger-Datenleck vor einer drohenden Welle von SIM-Swapping-Angriffen gewarnt. Da Telefonnummern geleakt wurden und Smartphones normalerweise zur Authentifizierung von Transaktionen verwendet werden, könnten die Auswirkungen verheerend sein;

Die U.S. Federal Trade Commission hat einen Warn- und Präventionsleitfaden herausgegeben, der Vorschläge zur Einschränkung der Weitergabe von persönlichen Daten enthält. Wenn jedoch Unternehmen, denen man Sicherheit zutraut, ihre Daten nicht selbst sichern können, was bleibt dann noch für den Konsumenten übrig?

Wie eine Reihe von Ledger-Nutzern schmerzlich erfahren haben, können Krypto-Assets leicht aus Hardware-Wallets gestohlen werden. Die Opfer leiden dann selbst darunter, da es in der Regel wenig bis gar keine Entschädigung seitens der Hersteller gibt.

Share.

Über den Autor

CVJ.CH Content Partner BeInCrypto

BeInCrypto ist eine im August 2018 gegründete News-Website, die sich unter anderem auf kryptographische Technologien, Datenschutz, Fintech und das Internet spezialisiert hat. Ihr Hauptziel ist es, Transparenz in eine Branche zu bringen, die von unaufrichtiger Berichterstattung, nicht gekennzeichneten gesponserten Artikeln und bezahlten Nachrichten, die sich als ehrlicher Journalismus ausgeben, geprägt ist.

dobalance