HomeBlockchainSicurezzaUn nuovo data breach per Ledger

Un nuovo data breach per Ledger

In un recente comunicato diffuso da Ledger, nota compagnia che produce il famoso hardware wallet, apprendiamo che dei criminali hanno sfruttato un altro data breach, proveniente da Shopify, che coinvolge altri 20mila utenti.

L’episodio risale al maggio dello scorso anno quando i criminali sfruttarono una falla nel portale di Shopify ed in quell’occasione vennero sottratti dati ad oltre 300mila utenti provenienti da diversi portali come Trezor, Augur ed anche Ledger.

Purtroppo il mese successivo ci fu anche un altro attacco, questa volta direttamente ai danni di Ledger e furono rubati ben 1 milione di indirizzi email e dati completi di oltre 9500 utenti. Pochi mesi dopo i criminali tentarono anche un terzo attacco ai danni degli utenti.

Come se non bastasse, solo il mese scorso sono stati pubblicati tutti i dati del database trafugato, comprese le informazioni private degli utenti che hanno avuto a che fare con Ledger, ovvero coloro che hanno comprato un hardware wallet per proteggere le proprie crypto.

Sicuramente il 2020 non è stato l’anno migliore per Ledger ma, come ricorda la stessa azienda, nessuno di questi episodi mette a repentaglio la sicurezza dei dispositivi elettronici custoditi dagli utenti, anche se si raccomanda di non utilizzare il proprio seed in piattaforme sospette e soprattutto in Ledger Live, visto che potrebbe essere compromesso.

Ledger dopo il data breach

Nel frattempo Ledger ha provveduto ad avvisare i nuovi utenti colpiti dalla recente scoperta dei dati rubati ed informarli di non fornire a nessuno il proprio seed e di non usarlo in nessun’altra piattaforma se non nel wallet fisico.

Inoltre, Ledger è al lavoro per integrare un modello di messaggistica per accedere ai fondi degli utenti e quindi potremmo vedere un sistema del tipo 2FA per migliorare la sicurezza, così anche nel caso di perdita del seed servirà una seconda password per accedere ai fondi.

Per quanto riguarda l’accaduto, Ledger si è mossa per tracciare i dati grazie al supporto di Chainalysis. In particolare si cercherà di tracciare i seed utilizzati ed i movimenti dei wallet, così da identificare come i criminali stanno utilizzando questi fondi.

Riguardo il caso di Shopify, sia l’FBI che il RCMP sono operativi e stanno collaborando con le autorità francesi per stanare i criminali che hanno perpetrato l’attacco ai danni di Shopify.

Altre misure che verranno prese da parte della compagnia saranno quelle relative alla gestione del database, così da cancellare i nomi privati degli acquirenti, una volta che l’ordine sarà evaso, in modo da non poter avere problemi simili in futuro.

Infatti, anche se si recupera un database di questa portata, se fossero stati adottati metodi per oscurare, proteggere e rendere impossibile la lettura delle informazioni al loro interno, i criminali non avrebbero avuto sicuramente vita facile.

Questo dimostra la leggerezza che la compagnia ha rivolto a questi dati, facendo preoccupare molti utenti che in alcuni casi hanno avanzato l’ipotesi di creare una class action proprio contro Ledger.

Infine Ledger ha messo a disposizione una ricompensa a tutti coloro che forniranno informazioni utili per avvicinarsi ai criminali. 

La ricompensa è di ben 10 BTC ciascuno per invogliare in questo modo anche i white hacker a fornire supporto nel caso.

Alfredo de Candia
Alfredo de Candia
Android developer da oltre 8 anni sul playstore di Google con una decina di app, Alfredo a 21 anni ha scalato il Monte Fuji seguendo il detto "Chi scala il monte Fuji una volta nella vita è un uomo saggio, chi lo scala due volte è un pazzo". Tra le sue app troviamo un dizionario di giapponese, un database di spam e virus, il più completo database sui compleanni di serie Anime e Manga e un database sulle shitcoin. Miner della domenica, Alfredo ha una forte passione per le crypto ed è un fan di EOS.
RELATED ARTICLES

MOST POPULARS

GoldBrick