maandag 28 december 2020 - door Redactie
Ledger, de fabrikant van de gelijknamige hardware wallets, heeft onzorgvuldig omgesprongen met de data van klanten. De gegevens van honderdduizenden eigenaars van cryptomunten liggen nu op straat.
Ledger maakte in juli reeds bekend dat het gehackt was maar de omvang ervan was nog niet duidelijk. Recent dumpte de hacker de gestolen gegevens op het internet en toen werd duidelijk dat het over zo'n 1 miljoen email adressen ging. Daarnaast zijn de gegevens van zo'n 270.000 klanten gelekt: niet alleen hun email adres, maar ook hun telefoonnumer en fysiek adres.
Technisch gezien kon de hacking vermoedelijk plaatsvinden omdat Ledger onzorgvuldig is omgesprongen met een zogenaamde API key. Met deze sleutel kan een externe mailinglist dienst die ze gebruiken toegang krijgen tot de database die de gegevens van de klanten bevat, zodat er automatisch marketing mails konden verstuurd worden. Vanuit het mailpakket kan dan bijvoorbeeld automatisch een bericht verzonden worden naar alle klanten die bijvoorbeeld een Ledger Nano S hebben gekocht.
Volgens waarnemers stond deze API key in broncode van de website die publiek geraadpleegd kon worden. Zo maak je jezelf uiteraard enorm kwetsbaar en Ledger heeft dit ook aangepast zodra ze het ontdekten, maar het kwaad was uiteraard al geschied. In ieder geval had Ledger de broncode extra moeten controleren voor ze online gezet werd, dan hadden ze deze fout zeker moeten opmerken.
Zulk een hoop informatie wordt natuurlijk meteen gebruikt door oplichters die phishing praktijken toepassen. De gelekte emailadressen krijgen dan ook regelmatig emails met de vraag om updates uit te voeren, waarbij de links in de emails naar valse websites en malafide software leiden.
Om het vertrouwen te winnen wordt in de email beschreven dat Ledger gehackt is en dat de klanten voorzichtig moeten zijn, waarna er zelfs gewoon naar de backup van de Ledger wordt gevraagd. Zogezegd om de cryptocurrency van de klanten te beschermen tegen aanvallen, maar uiteraard hopen de hackers op deze manier de controle over een wallet over te nemen. Klanten van Ledger worden dus aangeraden om twee keer na te denken als ze een email bericht krijgen dat lijkt op officiële communicatie van het bedrijf.
Erger is dat sommige mensen al melden dat ze met de dood bedreigd worden. Ze worden opgebeld op hun telefoonnummer of krijgen emails waarin hun adresgegevens vermeld staan. Om een homejacking te vermijden worden ze vervolgens gevraagd om cryptomunten over te maken op het adres van de belagers. Ledger stelt zelf dat het vooral over intimidatiepogingen gaat en dat deze criminelen op een makkelijke manier geld willen afpersen, maar echt geweld kan helaas nooit uitgesloten worden.
Verder zijn de klanten kwetsbaar voor mogelijk SIM swapping aanvallen. Hierbij tracht de hacker het mobiele telefoonnumer van het slachtoffer over te dragen op zijn eigen SIM kaart. Ze bellen bijvoorbeeld de telefoonmaatschappij op en zeggen dat hun toestel gestolen is. Doordat ze zoveel persoonlijke gegevens van het slachtoffer kunnen meegeven, wordt dit al snel geloofwaardig. Als het nummer vervolgens effectief overgezet wordt, kan de hacker proberen allerlei online accounts binnen te dringen die gebruik maken van 2 staps verificatie. Denk aan een crypto exchange die een bevestigingscode via sms stuurt om in te loggen of geld over te maken.
Klanten van Ledger zijn uiteraard boos op het bedrijf. Hoewel er geen enkele impact is op de kwaliteit van de toestellen zelf, krijgt het imago van Ledger nu een flinke deuk. Van een security firma, die zich bezig houdt met het beveiligen van private sleutels van cryptocurrency wallets, mag uiteraard meer verwacht worden. Blijkbaar werd er in de klantendatabase en de API's te weinig gebruik gemaakt van encryptie, waardoor de database kwetsbaar was voor een relatief eenvoudige aanval.
Ruben Merre, CEO van concurrent NGRAVE, merkte op dat Ledger waarschijnlijk het slachtoffer geworden is van zijn eigen ongebreidelde groei, waarbij er te weinig aandacht was voor het beveiligen van de online verkoopplatformen. "We hopen dat iedereen in de industrie hier van gaat leren. Een hardware wallet is geweldig, maar je moet je ook houden aan de databeschermingsrichtlijnen en dus het beschermen en zelfs verwijderen van klantendata. Het is onze missie om klanten zorgeloos aankopen te laten doen bij ons", klinkt het.
"In de gehackte gegevens van Ledger zaten nog adressen van mensen die 4 jaren geleden een toestel hadden gekocht", zo zei Merre tijdens een community call van Tradepremium. "Dat zou niet mogen. Wij houden de data nog drie maanden bij nadat het product is verzonden. Deze data worden offline bewaard en worden vervolgens verwijderd."
Ook CTO Xavier Hendrickx bevestigt dat ze bij NGRAVE op een andere manier werken. "Onze online database met verkoopgegevens wordt wekelijks leeggemaakt en daarna offline bewaard. In het geval van Ledger was de hele database de hele tijd online beschikbaar waardoor de hackers maandenlang in alle gegevens konden neuzen", zegt Hendrickx.
De NGRAVE is een revolutionaire hardware wallet die op het gebied van veiligheid alle andere cold wallets ver achter zich laat. De eerste 1.500 bestelde exemplaren worden begin 2021 aan klanten geleverd. Door zich ook te concentreren op het beschermen van de gegevens van zijn klanten kan NGRAVE echt het verschil maken en zal het een stevige concurrent voor Ledger worden.
Disclaimer: beleggen is altijd risicovol. Bescherm steeds jouw vermogen door risico's te spreiden.
Download hier meteen het meer dan 150 pagina's tellende e-book "Bitcoin & crypto uitgelegd".
