In seguito all’enorme data breach di giugno, molti utenti di Ledger si sono visti recapitare delle e-mail minatorie, nelle quali alcuni criminali richiedevano dei pagamenti in crypto: in caso di mancato versamento, gli estorsori minacciavano violenze fisiche. Ora il fenomeno sembra ripetersi, dopo l’ennesimo data breach relativo ai dati di circa 20.000 utenti Ledger.
I criminali, che usano i nomi di Darrin Burlew e Denni Hornig, hanno inviato e-mail agli utenti Ledger in cui affermano che le loro informazioni personali sono ora pubbliche.
L'utente di Reddit Crypthomie, un ex assistente di volo che ora vive negli Emirati Arabi Uniti, ha scritto che suo padre, proprietario di un prodotto Ledger, ha ricevuto uno di questi messaggi. L'e-mail includeva il suo nome, l'indirizzo di casa e il numero di telefono: richiedeva 0,3 Bitcoin (BTC) o 10 Ether (ETH), per un valore di circa 12.000$, dietro minaccia di violenze fisiche.
L'utente ha scritto:
"Sto prendendo la cosa molto seriamente, Ledger ha commesso un grosso errore. So che questi truffatori che inviano e-mail a centinaia stanno solo tentando la fortuna seminando terrore, ma quando si tratta della sicurezza della tua famiglia vedi sempre tutto in modo un po’ diverso.
Non fatevi ingannare, nessuno verrà a casa vostra per uccidervi, ma questo sentimento di insicurezza è uno scandalo e Ledger deve fare qualcosa."
Altri utenti di Ledger riferiscono di aver ricevuto messaggi simili, con richieste di riscatto in crypto da pagare entro 24 ore, pena "terribili" conseguenze. Un’altra mail inviata dai criminali dice:
"Riuscite ad immaginare tutte le cose brutte che potrebbero accadere a voi e ai vostri cari? Spero che non roviniate la vostra vita facendo la scelta sbagliata".
"Ma che c***o!
Questo è il mio vero indirizzo di casa, nella mail.
Non so che dire, tranne che @Ledger è un'inutile spreco di spazio.
State tutti molto attenti."
F**k sake!
— Saleh Ahmed Ⓥ (@SalehAhmedd_) January 14, 2021
This is my actual home address in the email.
I don't even know what to say, but @Ledger you absolutely useless waste of space.
Stay safe everyone $VET #VeChain #VeFam #VTHO #VET #CryptoFam pic.twitter.com/T3gLuU7gsg
Sebbene questa tipologia di reati sia molto più rara degli hack o delle truffe online, una casistica esiste. Jameson Lopp, ingegnere di Bitcoin, aggiorna una lista di articoli relativi ad attacchi per sottrarre crypto avvenuti “nel mondo reale”.
Le minacce sono arrivate un giorno dopo l'annuncio, da parte di Ledger, del fatto che i dati di circa 20.000 utenti erano finiti online su Shopify: l’azienda ha incolpato alcuni “criminali” del team di supporto della piattaforma.
Il primo data breach, avvenuto tra giugno e luglio 2020, comprendeva 1.075.382 indirizzi e-mail di utenti iscritti alla newsletter di Ledger e le informazioni personali (compresi gli indirizzi di casa) di 272.853 soggetti che avevano ordinato hardware wallet. Il mese scorso Cointelegraph ha riferito che gli hacker responsabili della violazione hanno reso pubbliche tutte le informazioni dei clienti Ledger, aumentando così il rischio di attacchi di phishing, ricatti e rapimenti.
In risposta a questi attacchi, Ledger ha dichiarato che avrebbe collaborato con la società di analisi Chainalysis ed altre per tracciare i wallet dei truffatori. L'azienda riferirà qualsiasi transazione illecita alle forze dell'ordine, permettendo in questo modo di "congelare le crypto nel caso in cui dovessero arrivare in un exchange". Ledger ha anche disposto una taglia da 10 BTC, circa 375.000$ al momento della pubblicazione del presente articolo, in cambio di "informazioni che possano portare all’arresto e all’apertura di azioni legali” contro i truffatori.
La risposta di Ledger non ha tuttavia rassicurato numerosi clienti, che hanno espresso incredulità per la mancanza di sicurezza e richiesto un risarcimento. L’utente Twitter CryptoPilot2 scrive:
"Quel fondo da 10 BTC dovrebbe essere dato ai clienti interessati e non al bounty hunter”.
Altri hanno sottolineato l'ironia, per un'azienda che offre un prodotto per la sicurezza di fascia alta, di subire un così imponente data breach. L’utente illtech8 ha dichiarato:
"Stavo per comprare il vostro wallet e il giorno dopo ho visto questa notizia.
Tutto il vostro brand si basa sulla fiducia, e ora nessuno si fida di voi. Non vi riprenderete mai da tutta questa storia."