Ledger carteira fria em crise! Parceiro divulga dados de usuários, repetindo a história de 2020

Carteira Fria Ledger: Parceiro de Pagamento de Terceiros Global-e Hackeada, Dados Pessoais de Utilizadores Vazados. ZachXBT Divulga; Ledger Confirma mas Enfatiza Segurança de Fundos e Chaves Privadas. Vazamento de Dados de 270 mil Utilizadores em 2020 Provocou Ataques de Phishing e Litígios. Especialistas em Segurança Alertam, Utilizadores Devem Estar Vigilantes Contra Mensagens Suspeitas que Solicitam Palavras-Chave de Recuperação ou Autorização nos Próximos Dias.

Quem é a Global-e? Por que se tornou uma Brecha de Segurança

(Fonte: Global-e)

O detetive blockchain ZachXBT divulgou em 5 de janeiro que o parceiro de processamento de pagamentos de terceiros da Ledger, Global-e, sofreu um vazamento de dados, resultando no acesso não autorizado aos dados pessoais de alguns utilizadores por parte de pessoas desconhecidas. A Ledger tem sido líder no sector das carteiras de hardware, permitindo aos utilizadores armazenar chaves privadas de criptomoedas offline através da Ledger, posicionando-se como uma solução de custódia de ativos mais segura do que carteiras quentes ou plataformas de troca centralizadas, possuindo assim uma ampla base de utilizadores de retalho e institucionais em todo o mundo, qualquer movimento relacionado com segurança atrai muita atenção da comunidade cripto.

Em resposta às preocupações públicas, a Ledger confirmou oficialmente aos media que recebeu notificação do parceiro Global-e sobre acesso não autorizado aos dados de encomendas no seu sistema. A Global-e é o comerciante registado (Merchant of Record) responsável pelo processamento de transações transfronteiriças no site oficial da Ledger, e a sua base de dados na nuvem contém informações de clientes que compraram produtos no site oficial da Ledger.

Um porta-voz da Ledger enfatizou que este incidente de segurança apenas envolve o sistema de informação do parceiro de e-commerce externo, as plataformas, hardware ou sistemas de software da Ledger não foram comprometidos e mantêm-se seguros. Dado que os produtos Ledger utilizam um design de auto-custódia (Self-custodial), a Global-e não consegue absolutamente aceder às 24 palavras-chave de recuperação mais críticas dos utilizadores, saldos de blockchain ou qualquer informação confidencial relacionada com ativos digitais, e este incidente também não envolveu qualquer exposição de informações de cartão de crédito.

Embora esta afirmação seja tecnicamente correta, ignora um risco maior. Os nomes, e-mails e números de telefone vazados, embora não possam roubar diretamente criptomoedas, fornecem uma lista de alvos perfeita para fraude direcionada. Os fraudadores sabem que estas pessoas possuem carteiras frias Ledger, o que significa que possuem ativos de criptomoedas de uma escala significativa, tornando-os alvo de ataque de alto valor.

Três Pontos Fracos da Segurança da Cadeia de Fornecimento

Comerciantes de Pagamento de Terceiros: Parceiros como a Global-e que processam transações transfronteiriças controlam dados de encomendas, tornando-se alvo de hackers

Comerciantes de Logística e Distribuição: Vazamento de endereços de entrega pode levar a roubo físico, em 2020 havia utilizadores que tinham sido ameaçados por esta razão

Sistemas de Atendimento ao Cliente: Atendimento ao cliente terceirizado com gestão inadequada pode ser quebrado através de engenharia social para obter dados de utilizadores

A Lição Dolorosa do Vazamento de 270 mil Utilizadores em 2020

O incidente de vazamento de informações de utilizadores da Ledger devido a um parceiro, fez com que o público prestasse novamente atenção ao histórico controverso anterior da Ledger. Retrospectivamente para 2020, a Ledger sofreu um grave incidente de vazamento de dados quando hackers conseguiram infiltrar-se com sucesso nas bases de dados de marketing e e-commerce associadas à empresa, resultando na exposição pública de informações pessoais de mais de 270 mil utilizadores no forum de hackers RaidForums.

O conteúdo vazado na altura era bastante detalhado, incluindo nomes de utilizadores, endereços de e-mail, números de telefone, e até mesmo endereços residenciais de alguns utilizadores foram expostos, provocando grande preocupação e insatisfação dos utilizadores, muitas vítimas foram posteriormente atacadas e incomodadas por grandes quantidades de e-mails de phishing. Embora a Ledger tenha lançado uma recompensa em Bitcoin para procurar informações sobre os atacantes, enfrentou posteriormente ações judiciais coletivas, com os autores alegando que a Ledger e o parceiro de e-commerce Shopify na altura não forneceram medidas adequadas de proteção de dados pessoais, deixando os utilizadores em risco.

Após o incidente de vazamento de 2020, um grande número de utilizadores recebeu e-mails de phishing disfarçados de oficial da Ledger, alegando que era necessário “atualizar o firmware” ou “verificar a conta”, induzindo utilizadores a inserir a palavra-chave de 24 caracteres de recuperação. Alguns utilizadores perderam consequentemente ativos de criptomoedas no valor de dezenas de milhares a milhões de dólares. Em casos mais extremos, havia utilizadores cujos endereços foram expostos e sofreram ameaças físicas, sendo forçados a entregar as carteiras frias.

Embora ainda não esteja claro se a escala do incidente Global-e da Ledger desta vez atingirá o nível de 2020, sem dúvida reacenderá o escrutínio do mercado sobre como as empresas de criptomoedas e seus fornecedores de serviços de terceiros lidam com dados de utilizadores. Para empresas de carteiras de hardware que veem a segurança como competência central, qualquer vazamento de dados pode afetar a confiança dos utilizadores.

Prevenção Prática Contra Fraude Direcionada de Phishing

Especialistas em segurança alertam que, embora os fundos da carteira Ledger dos utilizadores sejam seguros em si, os nomes e meios de contacto vazados são muito provavelmente utilizados para engenharia social direcionada e fraude, os utilizadores deverão manter-se altamente vigilantes contra qualquer mensagem suspeita que solicite fornecer palavras-chave de recuperação ou autorização nos próximos dias. A segurança da cadeia de fornecimento torna-se uma preocupação oculta, os utilizadores Ledger devem estar atentos ao phishing.

A característica da fraude de phishing direcionada é ser extremamente personalizada. Os fraudadores usarão o seu verdadeiro nome, histórico de compras e meios de contacto, fingindo ser atendimento ao cliente oficial da Ledger, alegando que a sua carteira tem um problema de segurança que precisa de “processamento urgente”. Este tipo de mensagem de fraude altamente personalizada é muito mais enganoso do que spam em massa.

A Ledger oficial nunca pedirá proativamente aos utilizadores para fornecer palavras-chave de recuperação ou chaves privadas. Qualquer e-mail, mensagem de texto ou telefone alegadamente proveniente da Ledger que envolva solicitação de informações confidenciais é 100% fraude. A abordagem correta é fechar imediatamente a mensagem suspeita, entrar no site oficial da Ledger para verificar, ou contactar proativamente através de canais de atendimento ao cliente oficiais.

Para utilizadores que confirmaram que os seus dados pessoais foram vazados, recomenda-se alterar imediatamente a palavra-passe de e-mail relacionada com a Ledger, ativar autenticação de dois fatores, e manter uma atitude de suspeita contra todos os contactos alegadamente provenientes da Ledger nos próximos meses. Se receber mensagens suspeitas, pode fazer screenshots e denunciar ao oficial da Ledger ou ao detetive blockchain ZachXBT.