I dati degli utenti raccolti sul database di e-commerce del sito di Ledger a giugno 2020, con il cosiddetto Ledger data breach, sono stati resi pubblici su Raidforum.
La conferma è stata data direttamente dal profilo Twitter ufficiale di Ledger, dove si legge:
“Oggi siamo stati avvisati del dump dei contenuti di un database di clienti di Ledger su Raidforum. Stiamo ancora verificando, ma i primi segnali ci dicono che questo potrebbe effettivamente essere il contenuto del nostro database di e-commerce da giugno 2020”.
Today we were alerted to the dump of the contents of a Ledger customer database on Raidforum. We are still confirming, but early signs tell us that this indeed could be the contents of our e-commerce database from June, 2020.
— Ledger (@Ledger) December 20, 2020
La società aveva già ammesso pubblicamente tempo fa il furto di dati, specificando che si riferivano solo al sito di ecommerce, e non ai wallet.
Inoltre oggi dichiara di aver fatto tutto il possibile in seguito all’attacco per rendere i sistemi di Ledger più forti, come ad esempio assumere un nuovo Chief Information Security Officer (CISO), rafforzare i sistemi e rivedere a fondo la policy riguardo i dati.
Dichiarano anche di aver eseguito test di attacco ed analisi forensi effettuate da società di sicurezza esterne per trovare eventuali vulnerabilità aggiuntive sul loro sistemi di e-commerce.
Hanno anche pubblicato sul loro sito una pagina con la descrizione degli attacchi di phishing, in modo che gli utenti possano evitarli e segnalarne eventuali altri.
Ledger ricorda anche di non condividere mai con nessuno le 24 parole della frase di recupero del wallet (il cosiddetto seed), anche con chi finge di essere un rappresentante della società stessa, perchè Ledger non chiederà mai ed a nessuno questi dati. Inoltre Ledger non contatta mai i propri utenti direttamente tramite messaggi di testo o telefonate, pertanto chiunque chieda il seed non lo fa, e non lo può fare, a nome della società.
Il Data Breach subito da Ledger
Infatti l’attacco subito a giugno non riguarda minimamente i wallet o i fondi in essi conservati, ma solo le informazioni riguardo gli utenti conservate nel database del sito di ecommerce della società, dove non vi è traccia alcuna dei seed o delle chiavi private necessarie per impossessarsi eventualmente dei fondi conservati nei wallet.
Pertanto i wallet degli utenti non sono stati compromessi da questo attacco.
I dati pubblicati su RaidForums riguardano solamente gli indirizzi e-mail, gli indirizzi fisici ed i numeri di telefono degli acquirenti dell’hardware wallet Ledger, ed è per questo che la società invita a non condividere con nessuno il seed del wallet, nemmeno se si ricevono messaggi o telefonate apparentemente provenienti da Ledger.
Anzi, se si riceve una richiesta di invio del seed apparentemente proveniente da Ledger, si tratta sicuramente di un tentativo di furto del medesimo.