L'hacker che quest'anno ha violato il marketing database di Ledger, nota società produttrice di hardware wallet, ha pubblicato online i dati personali di centinaia di migliaia di persone: ora molti utenti stanno valutando di intentare una class action contro la società.
Secondo un tweet di Alon Gal, dirigente dell'azienda di sicurezza Hudson Rock, l’hacker che si presume abbia violato i dati personali dei clienti di Ledger a giugno ha ora reso disponibili online tutte le informazioni ottenute. Queste informazioni includono 1.075.382 indirizzi e-mail di utenti iscritti alla newsletter di Ledger e 272.853 ordini di hardware wallet con informazioni che includono indirizzi e-mail, indirizzi fisici e numeri di telefono.
"ATTENZIONE: Un malintenzionato ha pubblicato online il database di @Ledger in circolazione da qualche mese.
Il database contiene informazioni quali indirizzi e-mail e fisici, numeri di telefono e altro su circa 272.000 utenti Ledger, nonché le e-mail di almeno un milione di altri utenti."
ALERT: Threat actor just dumped @Ledger's database which have been circling around for the past few months.
— Alon Gal (Under the Breach) (@UnderTheBreach) December 20, 2020
The database contains information such as Emails, Physical Addresses, Phone numbers and more information on 272,000 Ledger buyers and Emails of 1,000,000 additional users. pic.twitter.com/Sv9cQwhuNy
In merito all'incidente, Gal ha commentato:
"Questa fuga di notizie comporta rischi significativi per le persone colpite. Gli individui che hanno acquistato un Ledger tendono ad avere una notevole esposizione alle criptovalute e saranno ora soggetti a potenziali pericoli sia dal punto di vista informatico che fisico su scala più ampia di quanto non sia mai successo prima."
Rispondendo su Twitter, Ledger ha scritto che "i primi segnali" sembravano confermare che le informazioni rilasciate provenivano dal data breach di giugno, il quale ha compromesso i dati personali di molti dei suoi utenti. In seguito alla notizia dell'attacco hacker, parecchi utilizzatori di Ledger hanno riferito di essere stati presi di mira da tentativi di phishing. Alcuni hanno detto di aver ricevuto finte e-mail piuttosto convincenti che chiedevano loro di scaricare una nuova versione del software Ledger.
Ledger ha dichiarato:
"Lavoriamo continuamente con le forze dell'ordine per perseguire gli hacker e fermare questi truffatori. Abbiamo eliminato più di 170 siti web di phishing dal momento del breach originale".
Tuttavia, dopo mesi di segnalazioni di attacchi di phishing, molti utenti sono rimasti insoddisfatti della risposta della società. Su Twitter, Ryan Olah ha scritto:
"Intenterò delle azioni legali contro di voi, molto presto."
I’m going to take legal action against you very soon.
— a Friendly Duck. HODL (@DuckHodl) December 20, 2020
Per quanto i token presenti all'interno dei dispositivi Ledger non siano di per sé a rischio, gli utenti potrebbero potenzialmente perdere i propri fondi a causa di e-mail o SMS fraudolenti. Molti hanno riferito che tali attacchi hanno cercato di ingannarli, inducendoli a comunicare le loro seed phrase.
Ledger ha quindi voluto sottolineare:
"Non condividere mai le 24 parole della tua frase di recupero con nessuno, anche se finge di essere un rappresentante di Ledger. Ledger non te le chiederà mai. Ledger non vi contatterà mai tramite messaggi testuali o telefonate."
Tuttavia, alcuni utenti di Ledger hanno sottolineato che gli attacchi di phishing sono solo una delle possibili minacce a cui sono sottoposti, ora che i loro indirizzi fisici sono pubblici. Le persone con una grande quantità di asset crypto corrono il rischio di essere rapite e tenute prigioniere fino a quando non rinunciano ai loro token, come nel caso dell'imprenditore singaporiano Mark Cheng a gennaio.
L’utente di Twitter Paul Smith ha espresso chiaramente il suo disagio:
"Questa è una grave violazione e sono molto preoccupato che ora degli sconosciuti abbiano i nostri indirizzi. Cosa impedisce ai malintenzionati di bussare alle nostre porte? Chiedere scusa, francamente, non è sufficiente".