Aufgrund eines Sicherheitslecks des Hardware-Wallet-Produzenten Ledger wurden in diesem Jahr schon wieder zahlreiche persönliche Daten gestohlen. Die Veröffentlichung der Daten erleichtert Sim-Swapping-Angriffe. Damit ist auch die Sicherheit der Coins auf den Ledgern gefährdet.
Zum zweiten Mal in diesem Jahr wurde eine große Menge persönlicher Daten von Ledger-Kunden im Internet veröffentlicht. Mehrere Krypto-Community-Mitglieder unterhielten sich auf Twitter über den Leak. Die Daten wurden in einem Online-Forum geposted. Der Leak enthält sogar die E-Mails, Wohnadressen und die Telefonnummer der Kunden.
Bereits im Juni wurden sensible Kundendaten veröffentlicht
Ledger behauptet, die Daten stammen aus dem letzten Hack vom Juni 2020. Dabei relativiert Ledger jedoch die möglichen Gefahren des Leaks.
Wir sind auf die Veröffentlichung der Ledger-Kundendaten auf dem Raidforum aufmerksam geworden. Wir untersuchen den Sachverhalt weiter. Momentan sieht es so aus, als ob die Daten vom Hack im Juni 2020 stammen.
Ledger (@Ledger) December 20, 2020
Doch nach dem Hack im Juni folgten zahlreiche weitere Phishing-Attacken. Laut Ledger wurden damals nur 9.500 Nutzerdaten geleakt. In der Zwischenzeit hat sich aber herausgestellt, dass Angreifer bereits über 270.000 Kundendaten stahlen.
Ein Branchenexperte bezeichnet das Verhalten von Ledger als „unverzeihlich”:
Meiner Meinung nach ist das Ganze unverzeihlich. Sie können einfach keine Hardware-Wallets verkaufen und gleichzeitig vertrauliche Kundendaten auf einem Online-Server speichern. Hören sie auf Unternehmen, die das so praktizieren, finanziell zu unterstützen.
Nur so werden die Hardware-Wallet-Hersteller dazu lernen und unsere persönliche Sicherheit auch wirklich ernst nehmen.
Analyst Larry Cermak sagte, dass dieser Leak „viel viel gefährlicher” sei als der letzte.
Die Sicherheitslücke ist noch viel, viel gefährlicher als ich ursprünglich angenommen hatte. Ich habe die Daten mit einer kleinen Stichprobe von Ledger-Käufern verglichen. Ca. 50% aller Käuferdaten sind in dem Leak enthalten. Die Informationen enthalten auch Privatadressen und Telefonnummern.
Larry Cermak (@lawmaster) December 20, 2020
Da nun die Telefonnummern und Adressen der Ledger-Kunden öffentlich zugänglich sind, können diese auch ziemlich leicht Opfer von SIM-Swapping-Angriffen werden.
Wie funktioniert ein SIM-Swapping-Angriff und wie kann man sich davor schützen?
Der Analyst Alex Krüger warnt eindrücklich davor, dass nach dem letzten großen Leak viele Sim-Swapping-Angriffe folgen werden. Die Telefonnummer eines jeden Kunden, die er normalerweise für die 2FA mit seinem Smartphone verwendet, ist möglicherweise nun öffentlich einsehbar. Das kann fatale Folgen haben.
Die persönlichen Daten von 272.000 Ledger-Käufern sind geleakt worden. Wenn Ihre Daten kompromittiert wurden, stellen Sie sicher, dass Sie die veröffentlichte Nummer nicht für 2FA verwenden. Wechseln Sie zu einer VoIP-Nummer oder verwenden sie eine Prepaidsimkarte. Wenden Sie sich alternativ an @haseeb, einen Bitcoin-OG, dessen Firma Schutz vor Sim-Swapping anbietet
Alex Krüger (@krugermacro) December 21, 2020
Der Angreifer kontaktiert beim SIM-Swapping den Mobilfunkanbieter des Opfers. Mit den gestohlenen Daten überzeugt der Angreifer den Anbieter, dass er der eigentliche Eigentümer der Nummer ist. Anschließend bittet der Angreifer den Anbieter, eine neue SIM-Karte mit derselben Telefonnummer zu aktivieren.
Nun haben die Angreifer Zugriff auf die 2FA, ein zusätzlicher Sicherheitsmechanismus, den viele Kryptobörsen aber auch Ledger verwendet. Die Coins auf den (Hardware-) Wallets sind dann möglicherweise weg.
Da so viele verschiedene sensible Daten, wie die persönliche Anschrift oder die E-Mail- Adresse der Legder Kunden nun öffentlich sind, haben die Cyberkriminellen hierbei leichtes Spiel.
Die U.S. Federal Trade Commission hat einen Präventionsleitfaden gegen SIM-Swap-Angriffe veröffentlicht. In dem Leitfaden wird empfohlen, online so wenig Daten wie möglich zu teilen. Doch was soll ein Verbraucher tun, wenn die Unternehmen nicht mal in der Lage sind, ihre eigenen Daten zu schützen?
Einige Ledger-Kunden mussten bereits auf schmerzhafte Art und Weise erleben, wie einfach es manchmal sein kann, Krypto aus Hardware-Wallets zu stehlen. Die Opfer erhalten meist keinerlei Unterstützung von den Anbietern. Es gibt meistens kaum bzw. keine Kompensation für die verlorenen Gelder.
Geschrieben von Martin Young, übersetzt von Maximilian Mußner.
Trusted
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.
