Ledger (Live) - Angebote / Diskussion / Hilfe

[aundroid]

Ledger hat jetzt eine FAQ- Sektion auf deren Webseite eingerichtet.

Betroffen sind 1 Million Mail- Adressen und von 9500 Personen auch persönliche Informationen (Name, Telefonnummer, Adresse, gekaufte Produkte).

We know that this database comprises approximately 1M email addresses that could have been leaked and that 9500 more detailed personal information leaked as well such as first name, last name, phone number, and postal address and products purchased. More detailed personal information could have been exposed.

Sollte man bis 17 Uhr CET keine weitere Mail erhalten haben, zählt man nicht zu den 9500.


Quelle

[1714836028]

1714836028

[1714836028]

1714836028

[1714836028]

1714836028

[Lakai01]

Sollte man bis 17 Uhr CET keine weitere Mail erhalten haben, zählt man nicht zu den 9500.

Ich bin gottseidank nicht bei den 9,5k dabei, habe zumindest keine Mail bekommen. Ein schaler Beigeschmack bleibt natürlich ... wie können sie sicher sein, dass nur die Adressdaten dieser Kunden betroffen waren? Es handelt sich ja anscheinend um Tables mit Marketingdaten die abgefragt werden konnten, dort löscht man normalerweise nicht periodisch die Daten ...

Aus Sicht der DSGVO kommt da sicher noch was auf Ledger zu, die ersten Kunden haben ja schon angekündigt, dass sie klagen werden.

[aundroid]

Sollte man bis 17 Uhr CET keine weitere Mail erhalten haben, zählt man nicht zu den 9500.

Ich bin gottseidank nicht bei den 9,5k dabei, habe zumindest keine Mail bekommen. Ein schaler Beigeschmack bleibt natürlich ... wie können sie sicher sein, dass nur die Adressdaten dieser Kunden betroffen waren? Es handelt sich ja anscheinend um Tables mit Marketingdaten die abgefragt werden konnten, dort löscht man normalerweise nicht periodisch die Daten ...

Bin zum Glück auch nicht dabei.
Hoffe mal, dass es niemanden hier erwischt hat.
Wahrscheinlich darf man aufgrund der Datenschutz-Grundverordnung diese Marketingdaten auch nur für eine bestimmte Dauer (1 Jahr? keine Ahnung  ) speichern.

[seek3r]

Ich hab zum Glück auch keine weitere Mail mehr erhalten. Ich hoffe das ist ein gutes Zeichen! 

Wahrscheinlich darf man aufgrund der Datenschutz-Grundverordnung diese Marketingdaten auch nur für eine bestimmte Dauer (1 Jahr? keine Ahnung  ) speichern.

Hm ein Jahr wäre gut. Hab gerade mal ein wenig bei Ledger und einem anderen Thread gestöbert... ich quote einfach mal die betreffende Zeile:

We may archive some of your personal data, with restricted access, for an additional period of time when it is strictly necessary for us to comply with our legal and/or regulatory archiving obligations and for the applicable statute of limitation periods. At the end of this additional period, your remaining personal data will be permanently erased or anonymized from our systems.
...
If you purchased a product or a service from us, we may retain some transactional data attached to your Contact Details to comply with our legal, tax or accounting obligations for a maximum 10 years period set forth by French applicable laws, as well as to allow us to manage our rights (for example to assert our claims in Courts) during applicable French statutes of limitations.

Bei einem Kauf können aufgrund französischer Gesetzte bzw. Richtlinien - Ledger hat ihren Hauptsitz in FR - also bestimmte Kontaktdaten bis zu 10 Jahren gespeichert werden.
Bleibt erstmal zu hoffen, dass durch diesen Hack bzw. Datenlecks keiner zu schaden kommt.

[JL0]

Hat jemand so eine Mail von euch schonmal gesehen ? Mich würde es mal Interessieren was dazu geschrieben ist (Für die 9500 Betroffenen).

[aundroid]

Hat jemand so eine Mail von euch schonmal gesehen ? Mich würde es mal Interessieren was dazu geschrieben ist (Für die 9500 Betroffenen).

Auf Reddit hat jemand die Mail veröffentlicht, die diese 9500 betroffenen Kunden erhalten haben - Im englischen Bereich hat jemand heute darauf verwiesen.

Dear client,

On the 14th of July 2020, a computer researcher that participated in our bug bounty program notified us of a potential data breach on the Ledger website. We immediately fixed the breach after receiving the researcher’s report and undertook an internal and external investigation of the situation. While conducting the investigation, we discovered an unauthorized third party had gained access to customer information.

While the majority of the data breach concerned email addresses, we regret to inform you that you are part of the approximately 9500 customers whose detailed personal information were accessed by the unauthorized third party. Specifically, your name and surname were exposed.

This data breach is not linked to our hardware wallets’ security and your cryptocurrency funds are safe. Due to our detailed security measures, attackers cannot steal your sensitive information like your recovery phrase and private keys. You are the only one in control and able to access this information.

We deeply apologize for this security breach and are working with law enforcement to undergo an investigation

Pascal Gauthier, Ledger CEO

[asche]

snip

Habe diese mail auch bekommen. Oh wei, jetzt kennt jmd meine Titan gesicherte email und meinen falschen Namen XD

[mole0815]

Danke aundroid das mit dem zweiten Mail wusste ich bisher nicht.
Zum Glück habe ich es auch nicht erhalten
Sieht aus als wäre meine Bestellung schon lange genug her und daher schwirren meine Daten nichtmehr rum... zumindest nicht an dieser Stelle.

Die DSGVO macht es den Unternehmen aber auch echt schwierig. Das ist zusätzlich zu dem Imageschaden so eines Hacks eine durchaus nicht zu vernachlässigende finanzielle Gefahr.

Ist geklärt ob die Daten echt abgeflossen sind oder ob es nur ein gutmütiger User beim Bug-Bounty-Programm entdeckt und gemeldet hat?

[aundroid]

Ist geklärt ob die Daten echt abgeflossen sind oder ob es nur ein gutmütiger User beim Bug-Bounty-Programm entdeckt und gemeldet hat?

Beim Bug- Bounty Programm wurde nur auf die Lücke hingewiesen.
Die interne Untersuchung hat dann ergeben, dass bereits irgendwann im Juni die Lücke ausgenutzt wurde um von dieser Marketing DB die Tables abzufragen.
(also diese 1 Mio. Mail- Adressen und 9500 persönliche Informationen)

[mole0815]

Ist geklärt ob die Daten echt abgeflossen sind oder ob es nur ein gutmütiger User beim Bug-Bounty-Programm entdeckt und gemeldet hat?

Beim Bug- Bounty Programm wurde nur auf die Lücke hingewiesen.
Die interne Untersuchung hat dann ergeben, dass bereits irgendwann im Juni die Lücke ausgenutzt wurde um von dieser Marketing DB die Tables abzufragen.
(also diese 1 Mio. Mail- Adressen und 9500 persönliche Informationen)

Super danke für die rasche Rückmeldung.
Teil 2 (Ergebnis der internen Untersuchung) kannte ich noch nicht
Hoffe Ledger und alle betroffenen Kunden kommen halbwegs heil aus der Sache raus.

[JL0]

Im WO Thread gerade erst gelesen. Ist noch ganz frisch vom 04 August 2020
https://monokh.com/posts/ledger-app-isolation-bypass

This post will disclose a vulnerability in the Ledger hardware wallets that can lead to theft of user funds.

An attacker can exploit this method to transfer Bitcoin while the user is under the impression that a transaction of another, less valuable altcoin (e.g. Litecoin, Testnet Bitcoins, Bcash, etc.) is being executed

If you use bitcoin forks on your device, you could be affected. You should avoid using these ledger apps until fixes are available.

The issue has been disclosed to Ledger but remains unaddressed. See Disclosure Timeline.

@aundroid

Danke für die Mail

[mole0815]

Danke für die Warnung!
Auch auf reddit gibt es aktuelle Infos zu dem Thema:
https://www.reddit.com/r/ledgerwallet/comments/i3jyzw/from_bitcoin_sub_ledger_app_isolation_bypass/

Ist noch brandneu das Ganze... bin gespannt wann Ledger reagiert und das Problem behoben ist.
Bis dahin bleibt das Teil lieber weggeschlossen.

[aundroid]

Ist noch brandneu das Ganze... bin gespannt wann Ledger reagiert und das Problem behoben ist.
Bis dahin bleibt das Teil lieber weggeschlossen.

Das Ledger Donjon Team hats bereits einen Bericht darüber erstellt: https://donjon.ledger.com/lsb/014/

Kein Grund das Teil wegzuschließen, Ledger weiß von dem Bug anscheinend bereits seit min. 1,5 Jahren 

Still insisted on a 90 day disclosure period despite being fully aware of issue for 1y 6mo minimum (during development of firmware 1.5.5)

Soll laut offiziellem Twitter Account heute noch gefixt werden.

[Lakai01]

Ich hab die Ankündigung mal für Ledger gefixed:

If you use bitcoin forks on your device, you could be affected. You should avoid using bitcoin forks.

So stimmts auf alle Fälle und man wird auch kein Opfer eines Angriffs


Hab mir das jetzt nicht im Detail durchgelesen, ist aber eher wieder theoretischer Natur der Angriff, oder?

[JL0]

Ist noch brandneu das Ganze... bin gespannt wann Ledger reagiert und das Problem behoben ist.
Bis dahin bleibt das Teil lieber weggeschlossen.

Das Ledger Donjon Team hats bereits einen Bericht darüber erstellt: https://donjon.ledger.com/lsb/014/

Kein Grund das Teil wegzuschließen, Ledger weiß von dem Bug anscheinend bereits seit min. 1,5 Jahren  

Still insisted on a 90 day disclosure period despite being fully aware of issue for 1y 6mo minimum (during development of firmware 1.5.5)

Soll laut offiziellem Twitter Account heute noch gefixt werden.

Fast 2 Jahre schon bekannt ? Sind lieber mit SHITCOINS beschäftigt weil es mehr Geld einbringt.

[aundroid]

Hab mir das jetzt nicht im Detail durchgelesen, ist aber eher wieder theoretischer Natur der Angriff, oder?

Ja, laut dem User btchip (ich nehme an, er arbeitet für Ledger) musst man das Ziel genau kennen und Malware auf dessen PC installieren.

It's extremely unlikely to be performed unless you perfectly know the target and can install specific malware on his computer - so no, reports of fund stolen and increasing because there are more scammers and more users entering / re-entering the field.

In der kommenden Version solls dann eine Warnung geben.

This will be implemented in the upcoming release. Basically you'll get a warning screen if signing or deriving a public key in a fork of Bitcoin outside of a standard BIP 44 / BIP 49 / BIP 84 path with the expected coin type

Ich hab die Ankündigung mal für Ledger gefixed:

If you use bitcoin forks on your device, you could be affected. You should avoid using bitcoin forks.

So stimmts auf alle Fälle und man wird auch kein Opfer eines Angriffs

[aundroid]

So, Ledger hat gerade bekannt gegeben, dass das Update jetzt über Ledger Live verfügbar ist.
Das Update ist erhältlich für Nano X, Nano S und Blue.

Eine aufklärende FAQ Sektion zur Schwachstelle wurde ebenfalls erstellt: https://support.ledger.com/hc/en-us/articles/360015738179

[Soonandwaite]

Ist denn jetzt die aktuelle die 2.9.0 Version.So zeigt es mit der Ledger Live an das man auf diese aktualisieren kann.
Warum steht denn  auf der verlinkten Seite folgendes:

 from Ledger : Aktualisieren Sie die Bitcoin-App im Manager in Ledger Live auf Version 1.4.6. Dadurch werden automatisch alle von Bitcoin abgeleiteten Apps aktualisiert. Da das Problem nur für Bitcoin-abgeleitete Apps gilt, können Sie andere Apps ohne Bedenken weiter verwenden.        

[aundroid]

Warum steht denn  auf der verlinkten Seite folgendes:

 from Ledger : Aktualisieren Sie die Bitcoin-App im Manager in Ledger Live auf Version 1.4.6. Dadurch werden automatisch alle von Bitcoin abgeleiteten Apps aktualisiert. Da das Problem nur für Bitcoin-abgeleitete Apps gilt, können Sie andere Apps ohne Bedenken weiter verwenden.        

Das Problem galt für Bitcoin + Forks. Weil viele Forks den gleichen derivation path wie BTC verwenden, wurde in der Bitcoin App des Ledgers der derivation path nicht wie bei den anderen Apps beschränkt.
Theoretisch hätte ein 'bösartiges' LTC- Wallet eine Bitcoin Transaktion signieren können.
Du musst jetzt einfach nur die Bitcoin App auf Version 1.4.6 updaten, um die Schwachstelle zu beheben.

Wobei 'behoben' wurde es genau genommen ja nicht (da man den Ledger mit den ganzen Forks sonst nicht mehr verwenden kann),
aber man bekommt jetzt Warnungen:

The derivation path is unusual
The sign path is unusual

[mole0815]

Ist noch brandneu das Ganze... bin gespannt wann Ledger reagiert und das Problem behoben ist.
Bis dahin bleibt das Teil lieber weggeschlossen.

Das Ledger Donjon Team hats bereits einen Bericht darüber erstellt: https://donjon.ledger.com/lsb/014/

Kein Grund das Teil wegzuschließen, Ledger weiß von dem Bug anscheinend bereits seit min. 1,5 Jahren 

Still insisted on a 90 day disclosure period despite being fully aware of issue for 1y 6mo minimum (during development of firmware 1.5.5)

Soll laut offiziellem Twitter Account heute noch gefixt werden.

Schön wenn es jetzt innerhalb von 2 Tagen korrigiert wurde.
Aber trotzdem nicht OK so lange davon zu wissen und erst nach Veröffentlichung der Schwachstelle zu reagieren.

Wenn es jemand nicht veröffentlicht sondern zuerst Mal schön ausnutzt? Verstehen kann ich das nicht. Außer Ledger hat XX so gravierender Schwachstellen und die werden nach Priorität behoben