Naharap ang mga customer ng Ledger sa muling pag-aalala tungkol sa privacy matapos magkaroon ng paglabas ng data na may kaugnayan sa Global-e, isang payment processor na ginagamit sa pagbili. Lumitaw ang insidente matapos makatanggap ang mga customer ng mga abiso ng paglabag na nagbababala na may mga umaatake na naka-access sa limitadong personal na impormasyon.
Pangalan at mga detalye ng kontak ang lumitaw sa naapektuhang data, habang nanatiling ligtas ang mga wallet credential. Gayunpaman, muling nabuhay ang matagal nang mga pag-aalala tungkol sa panganib mula sa mga third-party sa loob ng crypto infrastructure. Dahil dito, hinikayat ng mga miyembro ng komunidad ang mas mataas na pag-iingat sa mga email at messaging platform.
Lalong napansin ang pagbubunyag matapos bigyang-diin ng blockchain investigator na si ZachXBT ang insidente sa publiko. Ipinahiwatig niya na tinarget ng mga umaatake ang cloud environment ng Global-e, hindi ang internal system ng Ledger.
Bukod sa pagtaas ng mga tanong tungkol sa pagsubaybay sa mga vendor, binigyang-diin ng paglabag kung paano maaaring mailantad ng mga peripheral na serbisyo ang mga crypto user. Kahit walang direktang kompromiso sa wallet, kadalasang ginagamit ng mga umaatake ang contact data upang gumawa ng mapanlinlang na scam. Kaya naman, itinuring ng maraming user ang insidente bilang isang seryosong usapin sa seguridad.
Ayon sa impormasyong ibinahagi sa mga customer, natuklasan ng Global-e ang di pangkaraniwang aktibidad at agad na kumilos upang pigilan ito. Ang kumpanya ay kumuha ng mga independent forensic specialist upang suriin ang lawak ng access.
Dagdag pa rito, iniulat ng Global-e na walang na-expose na payment card, password, o recovery phrase. Binigyang-diin ng Ledger na nanatiling buo ang hardware wallets at private keys nito. Gayunpaman, kinilala ng kumpanya na ang mga umaatake ay naka-access sa detalye ng customer sa pamamagitan ng relasyon sa partner.
Mahalaga, ang mga pag-leak ng data na kinasasangkutan ng mga crypto brand ay madalas na may malalaking epekto. Maaaring pagsamahin ng mga umaatake ang mga leaked na pangalan sa pampublikong blockchain data upang tukuyin ang mga high-value target. Bukod pa rito, nagbibigay ang ganitong impormasyon ng kakayahan para sa targeted phishing attempts na mukhang lehitimo.
Binigyang-diin ng mga security researcher na ang contact data lamang ay maaaring magsimula ng ilang buwang social engineering campaigns. Dahil dito, lumawak ang pag-aalala ukol sa insidente lagpas sa agarang teknikal na saklaw nito.
Dumating ang pinakabagong pag-leak sa isang sensitibong panahon para sa seguridad ng crypto. Kamakailan, iniulat ng mga user ng Trust Wallet ang hindi awtorisadong pagkawala ng pondo na konektado sa isang compromised na browser extension.
Bukod pa rito, tinarget ng mga umaatake ang mga user ng MetaMask sa pamamagitan ng sabayang wallet-draining campaigns. Bagaman hindi magkaugnay ang mga insidenteng ito, lalong nagdulot ng pag-aalala sa mga user dahil sa timing. Kaya naman, tiningnan ng maraming tagamasid ang insidente ng Ledger bilang bahagi ng mas malawak na usapin ng seguridad.
(adsbygoogle = window.adsbygoogle || []).push({});Lalong pinalala ng kasaysayan ng Ledger ang reaksyon. Noong 2020, isang malakihang pag-leak ng e-commerce database ang nagbunyag ng milyon-milyong customer records. Ang insidenteng iyon ay nagdulot ng taon ng phishing, tangkang pangingikil, at naiulat na banta sa pisikal na seguridad.
Bukod dito, isang supply-chain exploit noong 2023 na kinasasangkutan ng Ledger’s Connect Kit ang pansamantalang nagdulot ng pagkawala ng pondo ng mga user. Ang mga nakaraang insidenteng ito ang humubog sa pananaw at tiwala ng komunidad.
Ipinapunto ng mga security specialist na ang paulit-ulit na paglabas ng data ay nagdudulot ng pinagsama-samang panganib. Kahit ang limitadong paglabas ay maaaring magamit muli sa mga scam sa hinaharap. Madalas gamitin ng mga umaatake ang mga lumang dataset upang gumawa ng kapanipaniwalang mensahe.
Dahil dito, pinayuhan ng mga eksperto ang mga customer ng Ledger na maging maingat sa mga hindi hinihinging komunikasyon. Inirekomenda nilang huwag pansinin ang mga request para sa recovery phrase at palaging beripikahin ang lahat ng mensahe na may kaugnayan sa Ledger nang nakapag-iisa.
Kaugnay: Isiniwalat ng Ledger Research ang ‘Unpatchable’ Silicon Flaw sa MediaTek Chips; Nanganganib ang mga Mobile Wallet
