Foto: Shutterstock/Marc Bruxelle
Gisterenavond werden plotseling de persoonlijke gegevens van een enorme groep klanten van crypto-wallet fabrikant Ledger uitgelekt.
Iemand heeft het volledige klantenbestand met meer dan een miljoen e-mail adressen en meer dan 270.000 fysieke adressen en telefoonnummers geplaatst op een forum voor hackers, genaamd Raidforums:
Leak is legit.
Over 1,000,000 email addresses
Over 250,000 physical addresses and phone numbershttps://t.co/hLoXv3BATk— Jameson Lopp (@lopp) December 20, 2020
Ledger heeft inmiddels bevestigd dat het waarschijnlijk om het klantenbestand gaat dat in juni dit jaar werd gestolen. Het bedrijf zegt dat het enorm veel spijt heeft van het voorval:
Today we were alerted to the dump of the contents of a Ledger customer database on Raidforum. We are still confirming, but early signs tell us that this indeed could be the contents of our e-commerce database from June, 2020.
— Ledger (@Ledger) December 20, 2020
“Het is een enorme understatement om te zeggen dat we deze situatie oprecht betreuren. We nemen privacy uiterst serieus.”
Phishing Scams
Klanten maken zich zorgen voor een nieuwe golf van phishing scams. Een aantal van hen ontving al in de afgelopen maanden vaker berichten dat ze hun software moesten updaten, maar de berichten waren niet afkomstig van Ledger. Hierdoor gaven sommige gebruikers per ongeluk toegang tot hun wallets weg.
Ledger waarschuwt klanten opnieuw nooit hun zogeheten recovery phrase te delen, zeker niet met mensen die voordoen alsof ze van Ledger zijn:
“Deel nooit de 24 woorden van uw recovery phrase met iemand, zelfs niet als ze zich voordoen als een vertegenwoordiger van Ledger. Ledger zal u er nooit om vragen. Ledger zal nooit contact met u opnemen via sms of telefoon.”
Veel klanten melden op Twitter dat zij kwaad zijn, en dreigen massaal het bedrijf aan te klagen. Ook vragen klanten zich af waarom Ledger überhaupt dit soort informatie zo lang opslaat. Echter wordt het bedrijf waarschijnlijk vanuit de overheid hierin verplicht.
https://twitter.com/DuckHodl/status/1340773930357956612
Onder een aantal klanten bestaat nu de vrees dat ze het doelwit zullen worden van meer dan alleen phishing scams. Wat houdt mensen tegen niet aan de deur te kloppen als ze je fysieke adres hebben, vraagt gebruiker Paul Smith zich af:
Are you compensating everyone affected? @Ledger ? This is a serious breach and I am concerned that people now have our addresses! What’s stopping them from knocking on our doors?! Saying sorry, frankly, isn’t enough!!
— Paul S (@paul_smith2000) December 20, 2020
Have I been pwnded, een website om te controleren of je e-mail adres en wachtwoord zijn gelekt, meldt dat 69% van het Ledger klantenbestand al eerder was uitgelekt.
New breach: Ledger had over 1M email addresses breached in June, sold, then dumped publicly today. Data also included names, physical addresses and phone numbers. 69% were already in @haveibeenpwned. Read more: https://t.co/F44bBWzioQ
— Have I Been Pwned (@haveibeenpwned) December 20, 2020
En dan zijn er zelfs mensen die de lekkage niet op prijs stellen omdat ze er dan zelf geen “6-cijferige getallen” er meer aan kunnen verdienen:
https://twitter.com/UnderTheBreach/status/1340735356375851009
