Le fabricant de portefeuilles matériels Ledger a subi une autre fuite de données massive pour la deuxième fois cette année. L’exposition de milliers d’informations personnelles de clients a accru la menace d’attaques par échange de cartes SIM.
Pour la deuxième fois cette année, les données personnelles des acheteurs de portefeuilles Ledger ont été publiées en ligne. La nouvelle fuite a été diffusée par plusieurs membres de la communauté crypto qui ont trouvé des fichiers contenant prétendument la «base de données complète» des clients de Ledger avec des e-mails, des numéros de téléphone et même des adresses physiques.
Fuite de données de Ledger (encore une fois)
Ledger a minimisé le problème en affirmant qu’il s’agissait d’anciennes données de l’infiltration du serveur datant de juin 2020.
Aujourd’hui, nous avons été avertis de la fuite d’une base de données clients Ledger sur Raidforum. Nous sommes encore en train de confirmer, mais les premiers signes nous indiquent qu’il pourrait bien s’agir du contenu de notre base de données sur le commerce électronique à partir de juin 2020.
Une vague d’attaques de phishing a suivi l’infiltration de juin. Ledger affirmait à l’origine que «seulement» environ 9 500 données d’utilisateurs avaient été divulguées, mais il s’avère maintenant qu’il y en a jusqu’à 270 000.
Les chercheurs de l’industrie ont qualifié ce problème d ’« impardonnable »;
À mon avis, cette fuite est impardonnable. Vous ne pouvez tout simplement pas vendre de portefeuilles matériels et stocker les informations personnelles de vos clients sur un serveur en ligne. Arrêtez toute affaire avec eux, c’est la seule façon pour les entreprises de cet espace d’apprendre à prendre notre sécurité physique au sérieux.
L’analyste Larry Cermak a déclaré que cette dernière fuite était «bien pire» que la précédente :
Cette fuite est bien pire que je ne le pensais. J’ai fait des vérifications croisées avec des personnes qui ont acheté des Ledgers et le taux de réussite (anecdotique) est de 50%. Les informations comprennent les adresses personnelles ainsi que les numéros de téléphone.
Il existe également un danger inhérent que les attaques par échange de carte SIM soient utilisées pour cibler les clients de Ledger maintenant que leurs numéros de téléphone et adresses ont été divulgués.
Qu’est-ce que l’échange de cartes SIM et comment l’éviter?
L’analyste du secteur Alex Krüger a mis en garde contre une vague imminente d’attaques par échange de cartes SIM suite à la fuite de Ledger. Étant donné que les numéros de téléphone ont été divulgués et que les smartphones sont normalement utilisés pour authentifier les transactions, les retombées pourraient être dévastatrices :
Les données personnelles de 272 000 acheteurs de Ledger ont été divulguées. Si vos données ont été compromises, assurez-vous que vous n’utilisez votre numéro pour 2FA nulle part. Changez pour un numéro VoIP, ou GA. Vous pouvez également contacter @haseeb un bitcoin OG dont la société offre une protection contre le changement de carte SIM.
L’échange de carte SIM se produit lorsqu’un attaquant contacte le fournisseur de services sans fil / mobile de la victime et parvient à convaincre l’employé du centre d’appels qu’il est la victime en utilisant des données personnelles volées.
Avec un arsenal de nouvelles données, y compris des adresses e-mail, le numéro de téléphone lui-même et jusqu’aux adresses physiques des utilisateurs de Ledger, l’échange de carte SIM serait relativement facile à accomplir pour les cybercriminels.
L’attaquant demande alors au fournisseur d’activer une nouvelle carte SIM connectée au numéro de téléphone de la victime sur un nouveau téléphone en sa possession. Avec cela, ils peuvent accéder aux mesures de sécurité 2FA utilisées par les appareils Ledger et les échanges crypto. Ce qui se passe ensuite est inévitable : un portefeuille matériel vidé.
La Federal Trade Commission des États-Unis a publié un guide d’avertissement et de prévention qui comprend des suggestions sur la limitation du partage de renseignements personnels. Cependant, lorsque les entreprises auxquelles on fait confiance en termes de sécurité ne peuvent pas sécuriser elles-mêmes les données, quel espoir a le consommateur?
Comme un certain nombre d’utilisateurs de Ledger l’ont douloureusement découvert, les crypto-actifs peuvent être facilement volés dans les portefeuilles matériels. Les victimes se retrouvent seules face à leur peine lorsque cela se produit, car il n’y a généralement que peu ou pas de recours de la part des fabricants.
Trusted
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
