Meer dan een miljoen e-mails van klanten die blijkbaar waren gestolen van de fabrikant van hardwareportefeuilles Ledger, zijn vandaag openbaar gemaakt op een hackersite. Ledger zei dat het nog steeds de details van het incident moeten bevestigen, maar gaf toe dat de gegevens “inderdaad de inhoud van onze e-commerce database vanaf juni 2020 kunnen zijn”.
De gelekte gegevens, die op Raidforums zijn gepubliceerd, bevatten ook namen, fysieke adressen en telefoonnummers van Ledger-klanten, en lijken afkomstig te zijn van een hack van Ledger’s e-commerce database in juni.
Het volledige lek bedraagt meer dan een miljoen e-mailadressen en meer dan 270.000 fysieke adressen en telefoonnummers.
Volgens cybersecurity website haveibeenpwned.com had het al 69% van de adressen in de gedumpte database vermeld als overeenkomstig, vanaf het moment van de oorspronkelijke hack.
New breach: Ledger had over 1M email addresses breached in June, sold, then dumped publicly today. Data also included names, physical addresses and phone numbers. 69% were already in @haveibeenpwned. Read more: https://t.co/F44bBWzioQ
— Have I Been Pwned (@haveibeenpwned) December 20, 2020
In een reeks tweets merkte Ledger op dat het is gewaarschuwd voor de database-dump en “nog steeds moet bevestigen” of de gelekte informatie echt is. “De eerste tekenen vertellen ons dat dit inderdaad de inhoud zou kunnen zijn van onze e-commerce database van juni 2020”, verklaarde het bedrijf, eraan toevoegend: “Het is een enorm understatement om te zeggen dat we deze situatie oprecht betreuren.”
De oorspronkelijke hack was gericht op Ledger’s marketing- en e-commerce-database, wat betekent dat alleen contact- en ordergegevens betrokken waren; tijdens de aanval werden geen financiële informatie, key phrases of digitale sleutels blootgelegd. In 9500 gevallen werden telefoonnummers, postadressen en details van productaankopen blootgelegd door de hack.
De aanvallers konden toegang krijgen tot de database van de e-commerce afdeling met een (sindsdien uitgeschakelde) API-sleutel.
Ledger VP of Marketing Benoit Pellevoizin waarschuwde dat de gelekte informatie kan worden gebruikt bij phishingaanvallen in een poging Ledger-klanten te misleiden om hun privésleutels over te dragen. “In feite kunnen ze met e-mails onze klanten targeten om zich voor te doen als Ledger om hen te vragen naar hun seed phrase om toegang te krijgen tot cryptocurrencies … dat vragen we nooit,” zei Pellevoizin.
In een tweet herhaalde Ledger vandaag dat gebruikers hun herstelzin van 24 woorden met niemand mogen delen, “zelfs niet als ze zich voordoen als een vertegenwoordiger van Ledger.” Het bedrijf heeft ook een webpagina opgezet waar gebruikers de details van phishingaanvallen kunnen melden.
MOST IMPORTANTLY: Never share the 24 words of your recovery phrase with anyone, even if they are pretending to be a representative of Ledger. Ledger will never ask you for them. Ledger will never contact you via text messages or phone call.
— Ledger (@Ledger) December 20, 2020
In een verklaring ten tijde van de oorspronkelijke hack zei Ledger dat de Franse autoriteit voor gegevensbescherming, de CNIL, op 16 juli op de hoogte was gebracht van de inbreuk.
21/12/2020 – 04u00
Stijn van DCN
