Der Hardware-Wallet-Hersteller Ledger hat zum zweiten Mal in diesem Jahr eine massive Datenpanne erlitten. Die Aufdeckung der persönlichen Daten tausender Kunden hat die Bedrohung durch "SIM-Swapping" als Angriffsvektor erhöht.
Zum zweiten Mal in diesem Jahr wurden persönliche Daten von Ledger-Wallet-Käufern online veröffentlicht. Die Datenpanne wurde von mehreren Mitgliedern der Krypto-Community gepostet, die Dateien mit der "vollständigen Datenbank" von Ledger-Kunden gefunden haben. Darin enthalten sind E-Mails, Telefonnummern und sogar physische Adressen.
Erhebliches Datenleck
Ledger nahm auf Twitter Stellung und behauptete, es handle sich um alte Daten aus dem Server-Hack vom Juni 2020.
Today we were alerted to the dump of the contents of a Ledger customer database on Raidforum. We are still confirming, but early signs tell us that this indeed could be the contents of our e-commerce database from June, 2020.
— Ledger (@Ledger) December 20, 2020
Eine Welle von Phishing-Attacken folgte auf den Angriff im Juni. Ledger behauptete ursprünglich, dass nur etwa 9'500 Benutzer betroffen waren. Nun stellt sich jedoch heraus, dass es womöglich bis zu 270'000 sein könnten. Branchenexperten nannten den Vorfall "unverzeihlich". Hasu, Autor für Deribit Insights, war der Meinung: "Man kann einfach nicht Hardware-Wallets verkaufen und die persönlichen Daten seiner Kunden auf einem Online-Server speichern." Um Ledger dazu zu bringen, Datensicherheit ernster zu nehmen, empfahl er, die Zusammenarbeit mit ihnen komplett abzubrechen.
Analyst Larry Cermak, Director of Research bei The Block, sagte, dass dieses letzte Datenleck "viel, viel schlimmer" sei als das letzte;
This Ledger leak is much much worse than I thought. Did some cross checks with people that have purchased Ledgers and the hit rate (anecdotally) is like 50%. The info includes home addresses as well as phone numbers.
— Larry Cermak (@lawmaster) December 20, 2020
Es besteht nun auch die Gefahr, dass Kunden von Ledger ins Visier von SIM-Swapping-Angriffen geraten, nachdem ihre Telefonnummern und Adressen an die Öffentlichkeit gelangt sind.
Was ist SIM-Swapping und wie kann man es vermeiden?
SIM-Swapping erfolgt, wenn ein Angreifer den Mobilfunkanbieter des Opfers kontaktiert und den Mitarbeiter des Call Centers davon überzeugt, dass er das Opfer ist, indem er gestohlene persönliche Daten verwendet. Mit einem Arsenal an neuen Daten, einschliesslich E-Mail-Adressen, der Telefonnummer und sogar physischen Adressen von Ledger-Benutzern, wäre dies für Cyberkriminelle relativ einfach zu bewerkstelligen.
Der Angreifer bittet dann den Anbieter, eine neue SIM-Karte, die mit der Telefonnummer des Opfers verbunden ist, auf seinem eigenen Telefon zu aktivieren. Damit können sie auf die 2-Faktor-Authentifizierung zugreifen, die von Ledger-Geräten und Krypto-Börsen verwendet werden. Was dann passiert, ist unvermeidlich - eine leergeräumte Hardware-Wallet.
Branchenanalyst Alex Krüger hat nach dem Ledger-Datenleck vor einer drohenden Welle von SIM-Swapping-Angriffen gewarnt. Da Telefonnummern geleakt wurden und Smartphones normalerweise zur Authentifizierung von Transaktionen verwendet werden, könnten die Auswirkungen verheerend sein;
The personal data of 272,000 Ledger buyers has been leaked. If your data was compromised, make sure you are not using your number for 2FA anywhere. Change to a VoIP number, or GA. Alternatively, contact @haseeb a bitcoin OG whose company provides protection against sim swapping.
— Alex Krüger (@krugermacro) December 21, 2020
Die U.S. Federal Trade Commission hat einen Warn- und Präventionsleitfaden herausgegeben, der Vorschläge zur Einschränkung der Weitergabe von persönlichen Daten enthält. Wenn jedoch Unternehmen, denen man Sicherheit zutraut, ihre Daten nicht selbst sichern können, was bleibt dann noch für den Konsumenten übrig?
Wie eine Reihe von Ledger-Nutzern schmerzlich erfahren haben, können Krypto-Assets leicht aus Hardware-Wallets gestohlen werden. Die Opfer leiden dann selbst darunter, da es in der Regel wenig bis gar keine Entschädigung seitens der Hersteller gibt.
