Ledger (Live) - Angebote / Diskussion / Hilfe

[Soonandwaite]

Hi zusammen,

bei Ledger und/oder bei einem Dienstleister hat es anscheinend wieder ein Datenleck gegeben. Zu lesen hier. Falls es schon gepostet wurde bitte löschen.

https://www.btc-echo.de/schlagzeilen/kritik-an-ledger-unbekannte-greifen-kundendaten-ab-222802/

https://kryptokenner.de/datendiebstahl-bei-ledger-erneute-sicherheitsluecken-und-was-du-jetzt-tun-solltest/

Das ist ja mal wieder was.... so können die kein Vertrauen mehr aufbauen.

Gruß
Deep

Wurde schon mal erwähnt in einem anderen Thread. Passt ja trotzdem hier rein. Nur ärgerlich für >Ledger ist es allemal. Diesmal wahrscheinlich ein externer.
Denke aber das wird mit den Hacks nicht besser werden. Dieses Jahr werden bestimmt wieder einige Unternehmen Ziel solcher Angriffe werden.
Und sei es nur die Coop Card oder der Externe von Kraken oder Binance. Denke eh das 95 % der User hier schon ihre Daten in Bezug auf einen Leak im Netz finden könnten.
Bei einem halt mehr sensible Daten als bei dem anderen User. Es wird dank KYC nicht weniger werden.
Es sind einfach zu viele Externe dabei. Und oft wird einer der günstigen genommen. Günstig heisst ja bekanntlich nicht immer besser 

[MaxMueller]

Wurde zwar bereits im aktuellen Kursverlauf erwähnt, finde ich hier aber tatsächlich besser verortet

~

Besonders ärgerlich an der sache ist, dass ja auch leute die Ledger bereits abgeschworen haben davon betroffen sind. Zumal dann auch noch mit der Verknüpfung von Daten -> BTC-Inhaber + Persönliche Adresse = mehr Risiko für gezielte IT-Attacken, Einbrüche, etc.

Sehr ärgerlich mal wieder.

[MinoRaiola]

Besonders ärgerlich an der sache ist, dass ja auch leute die Ledger bereits abgeschworen haben davon betroffen sind. Zumal dann auch noch mit der Verknüpfung von Daten -> BTC-Inhaber + Persönliche Adresse = mehr Risiko für gezielte IT-Attacken, Einbrüche, etc.

Man stelle sich vor, dass passiert mit einer Bank. Also IBAN + Adresse + Name, damit könnte man schon größeren Schaden anrichten. Bei paypal gab es vor einigen Monaten (oder 1 Jahr) eine Ansammlung von Scams. Man konnte bei papal bezahlen, wenn man Name, IBAN und Geburtsdatum hatte... eine eMail war es glaube auch noch.

PayPal-Betrug ohne Konto: Kriminelle nutzen gestohlene IBANs
https://www.verbraucherzentrale.de/wissen/digitale-welt/onlinedienste/paypalbetrug-ohne-konto-kriminelle-nutzen-gestohlene-ibans-102144


Eine BTCWallet Adresse belasten, so wie eine IBAN geht nicht. +1 für Bitcoin

[Koal-84]

Besonders ärgerlich an der sache ist, dass ja auch leute die Ledger bereits abgeschworen haben davon betroffen sind. Zumal dann auch noch mit der Verknüpfung von Daten -> BTC-Inhaber + Persönliche Adresse = mehr Risiko für gezielte IT-Attacken, Einbrüche, etc.

Sehr ärgerlich mal wieder.

Auch wenn es immer wieder erwähnt wird, die Hardwarewallet direkt beim Hersteller zu bestellen, aber genau das ist der Grund warum das auch gefährlich werden kann, bezüglich der Daten. Und das dies Ledger noch einmal passiert ist ja schon fast zum schämen, dass ist echt ein Witz.

[Real-Duke]

Auch wenn es immer wieder erwähnt wird, die Hardwarewallet direkt beim Hersteller zu bestellen, aber genau das ist der Grund warum das auch gefährlich werden kann, bezüglich der Daten.

In diesem Fall ist Ledger ja selbst nur indirekt schuldig, aber das kommt eben dabei raus, wenn man nicht alles selber macht.
Dienstleistungen auszusourcen ist ja heute gang und gebe, aber es handelt sich bei den Wallets um ziemlich sensible Daten. Alles "aus einer Hand" wäre hier definitiv besser für sie selbst.

Bin schon gespannt ob ich demnächst dann noch mehr Ledger Phishing Mails bekomme. Obwohl ich nie direkt vom Hersteller gekauft habe, finde ich die fast täglich in meinen Spam Mails

[Lakai01]

Im Reddit-Forum von Ledger tauchen nun auch schon die ersten Screenshots von Scam-Versuchen auf, bspw. hier:


Quelle

Ist natürlich enorm ärgerlich, dass hier wieder etwas mit Ledger-Kundendaten passiert ist - auch wenn Ledger direkt nix dafür kann und auch viele weitere Global-e-Kunden betroffen sind.

In diesem Fall ist Ledger ja selbst nur indirekt schuldig, aber das kommt eben dabei raus, wenn man nicht alles selber macht.
Dienstleistungen auszusourcen ist ja heute gang und gebe, aber es handelt sich bei den Wallets um ziemlich sensible Daten. Alles "aus einer Hand" wäre hier definitiv besser für sie selbst.

Das ist leider gerade bei Payment-Providern nicht so einfach. Man kann als Firma nicht "einfach so" Zahlungsdienstleistungen anbieten, schon gar nicht weltweit. Hierzu sind unter anderem Lizenzen notwendig und oftmals auch sehr strenge Anforderungen was die Sicherheit der Daten betrifft (hat ja sehr gut funktioniert in diesem Fall ). Genau deswegen muss man hier auch auf Zahlungsdienstleister zurückgreifen.


Ich bin gespannt wie lange zurückliegend die Daten bei Global-e abgegriffen werden konnten. Ich habe mir rund um 2020 einen Nano X gekauft und hoffe jetzt mal doch nicht, dass ich da noch im Datensatz aufscheine ... derzeit hätte ich auch keine vermehrten Scam-Angriffe bemerkt.

[Buchi-88]

Jetzt weiß ich auch wieder warum die Ledger Scam Mails mehr geworden sind, Ledger hat schon einmal meine Daten verloren (habe durch das Tezos ICO einen Ledger Nano in der Tezos Edition, direkt von Ledger bekommen), vermutlich nicht gelöscht und sind jetzt wieder im Netz aufgetaucht und werden fröhlich herumgereicht, DANKE Ledger für ncihts, ihr seid wirklich unfähig.

Darum wenn ich jetzt irgendwo etwas mit Krypto-Bezug bestelle oder gewinne, lasse ich mir das in Zukunft in die Firma senden, mein Name ist dann veröffentlicht, aber wenigstens die Adresse nicht, echt zum ärgern solche Datenlecks, von sogenannten Sicherheitsfirmen.

[MaxMueller]

In diesem Fall ist Ledger ja selbst nur indirekt schuldig, aber das kommt eben dabei raus, wenn man nicht alles selber macht.

Ist natürlich enorm ärgerlich, dass hier wieder etwas mit Ledger-Kundendaten passiert ist - auch wenn Ledger direkt nix dafür kann und auch viele weitere Global-e-Kunden betroffen sind.

Ich weiß ja nicht ob das nur mir so geht, aber wenn ich einem Unternehmen meine Daten anvertraue, dann erwarte ich schon einen sicheren Umgang damit. Und wenn die bestimmte Leistungen outsourcen müssen, dann erwarte ich auch, dass damit keine Aufhebung der Standards erfolgt. Insofern würde ich da schon auch Ledger in der Verantwortung sehen, die es offenbar versäumt haben durch Audits oder was auch immer sicherzustellen, dass Ihrer Dienstleister die selben Standards erfüllen....

[MinoRaiola]

Auch wenn es immer wieder erwähnt wird, die Hardwarewallet direkt beim Hersteller zu bestellen, aber genau das ist der Grund warum das auch gefährlich werden kann, bezüglich der Daten. Und das dies Ledger noch einmal passiert ist ja schon fast zum schämen, dass ist echt ein Witz.

Egal wie man es macht, es bleibt immer ein Restrisiko. Mit so etwas rechnet man ja nicht, aber man sollte in Zukunft wohl darüber nachdenken. Eine Bestellung online ist verknüpft mit persönlichen Daten, also Adresse, Name, Zahlungsweg oder auch IP-Adresse. Man könnte so eine Bestellung auch Anonym P2P machen, aber da scheitert es oftmals am Vertrauen beider Parteien. Ein kleiner Teufelskreis und im Zeitalter der KI, wird das in Zukunft ggfs. noch schwieriger. Die Kriminelle Energie könnte stärkere Unterstützung erfahren und ein neues Level erreichen.

[Real-Duke]

Das ist leider gerade bei Payment-Providern nicht so einfach. Man kann als Firma nicht "einfach so" Zahlungsdienstleistungen anbieten, schon gar nicht weltweit.

Damit hast Du vollkommen Recht und es ist schade für Ledger, dass ausgerechnet sie sich wieder/nochmal den falschen ausgesucht haben.

Darum wenn ich jetzt irgendwo etwas mit Krypto-Bezug bestelle oder gewinne, lasse ich mir das in Zukunft in die Firma senden, mein Name ist dann veröffentlicht, aber wenigstens die Adresse nicht

Nimm dafür doch einfach die gute alte Packstation. Dann haben sie zwar auch deinen Namen, aber noch lange nicht deine Adresse oder die deines Arbeitgebers

Insofern würde ich da schon auch Ledger in der Verantwortung sehen, die es offenbar versäumt haben durch Audits oder was auch immer sicherzustellen, dass Ihrer Dienstleister die selben Standards erfüllen....

Auch da bin ich voll und ganz bei Dir, aber was hat eine Firma Ledger hier für Möglichkeiten die Abläufe zu prüfen? Zertifiziert wird Global-e für seine Tätigkeiten sein, aber alles offen legen werden die für ihre Kunden bestimmt auch nicht.

Egal wie man es macht, es bleibt immer ein Restrisiko. Mit so etwas rechnet man ja nicht, aber man sollte in Zukunft wohl darüber nachdenken. Eine Bestellung online ist verknüpft mit persönlichen Daten, also Adresse, Name, Zahlungsweg oder auch IP-Adresse.

Kurz gesagt: Je bequemer der Einkauf, desto mehr Risiko.
In ein Ladengeschäft gehen und dann mit Bargeld bezahlen, bleibt wohl vorerst die anonymste Art einzukaufen. Hier hat man aber wieder die Einschränkung das es nicht alles überall gibt...

[Cricktor]

Ich weiß ja nicht ob das nur mir so geht, aber wenn ich einem Unternehmen meine Daten anvertraue, dann erwarte ich schon einen sicheren Umgang damit. Und wenn die bestimmte Leistungen outsourcen müssen, dann erwarte ich auch, dass damit keine Aufhebung der Standards erfolgt. Insofern würde ich da schon auch Ledger in der Verantwortung sehen, die es offenbar versäumt haben durch Audits oder was auch immer sicherzustellen, dass Ihrer Dienstleister die selben Standards erfüllen....

Du musst ja quasi einen gescheiten AVV (AuftragsVerarbeitungsVertrag) abschließen, dazu gehört auch die Pflicht des Auftraggebers, sich ordentlich mit den organisatorischen Sicherheitsmaßnahmen des Auftragsverarbeiters auseinander zu setzen, die notwendig sind, um die anvertrauten Daten sicher zu halten. Hat Ledger das ordentlich gemacht? Keine Ahnung.

Ich würde denen ja unterstellen, daß sie sich einen eher für sie günstigen Zahlungsdienstleister gezogen haben, der ihre Anforderungen erfüllt. Ob das dann ein Unternehmen mit guter Reputation und Sicherheitshistorie ist, kann man bezweifeln, wenn hoher Sicherheitstandard nicht oberste Prio hat.

Ledger versucht z.B. sehr kostenoptimiert zu produzieren. Lieber sparen, als hochwertige Komponenten zum Vorteil ihrer Kundschaft zu verbauen. Mediokre OLED-Qualität, eher lausige Akkus. Der Fokus liegt auf anderen Dingen.

Wenn dein Auftragsverarbeiter Mist baut, bist du als Auftraggeber im Rahmen des Datenschutzes und wahrscheinlich darüber hinaus genauso dran. Das ist schon sehr armselig, wenn Ledger beinahe alle Schuld von sich weist, denn das ist schlicht nicht korrekt. Daher wählt man seine Auftragsverarbeiter mit großer Sorgfalt aus, je nachdem, was für Daten auf dem Spiel stehen.

Ich hatte ja vorher schon lange keine Liebe mehr für Ledger, aber die letzte Nummer mit dem aktuellen Datenverlust setzt dem noch eins drauf oder drunter, wie denn jetzt... Ach, einfach ein Scheiss-Laden.

Ich warte dann mal auf das Geheul, wenn Ledger Recovery Service gehackt wird. Da sind ja gut zwei weitere Firmen neben Ledger beteiligt. Auch wenn das Sicherheitskonzept komplex und durchaus durchdacht aussieht, irgendeiner spart an irgendwelchen Sicherungskosten und das wird denen irgendwann auf die Füße fallen.

[Unknown01]

Nach den letzten top News von Ledger (Achtung Ironie) kann man ja nur hoffen, dass Anbieter wie Trezor ihr Versprechen die Daten zu löschen auch wirklich einhalten und nie von so einer Situation betroffen sein werden. Ich setze mein Vertrauen in Zukunft in Trezor und nicht mehr auf Ledger. Das Gerät wird dann nur noch als Andenken an die Anfangszeiten aufbewahrt werden.

[Buchi-88]

Egal wie man es macht, es bleibt immer ein Restrisiko. Mit so etwas rechnet man ja nicht, aber man sollte in Zukunft wohl darüber nachdenken. Eine Bestellung online ist verknüpft mit persönlichen Daten, also Adresse, Name, Zahlungsweg oder auch IP-Adresse. Man könnte so eine Bestellung auch Anonym P2P machen, aber da scheitert es oftmals am Vertrauen beider Parteien. Ein kleiner Teufelskreis und im Zeitalter der KI, wird das in Zukunft ggfs. noch schwieriger. Die Kriminelle Energie könnte stärkere Unterstützung erfahren und ein neues Level erreichen.

Oder man könnte einfach die Daten nach einer bestimmten Zeit löschen (zB.: 3 Monate), so wäre das Risiko auch für viele einfach geringer, für einen Garantiefall wird so oder so die Rechnung benötigt.

Kurz gesagt: Je bequemer der Einkauf, desto mehr Risiko.
In ein Ladengeschäft gehen und dann mit Bargeld bezahlen, bleibt wohl vorerst die anonymste Art einzukaufen. Hier hat man aber wieder die Einschränkung das es nicht alles überall gibt...

Darum ist für mich Bargeld immer und überall noch präsent und das kann nur die EU wollen (totale Überwachung), ein Bargeldverbot.

Ich hatte ja vorher schon lange keine Liebe mehr für Ledger, aber die letzte Nummer mit dem aktuellen Datenverlust setzt dem noch eins drauf oder drunter, wie denn jetzt... Ach, einfach ein Scheiss-Laden.

Mehr kann man dazu auch nicht sagen.

Ich warte dann mal auf das Geheul, wenn Ledger Recovery Service gehackt wird. Da sind ja gut zwei weitere Firmen neben Ledger beteiligt. Auch wenn das Sicherheitskonzept komplex und durchaus durchdacht aussieht, irgendeiner spart an irgendwelchen Sicherungskosten und das wird denen irgendwann auf die Füße fallen.

Dann ist es mit dem Laden auch vorbei, aber leider stehen die Kunden wieder mit nichts da.

[Lakai01]

[...]
Ich warte dann mal auf das Geheul, wenn Ledger Recovery Service gehackt wird. Da sind ja gut zwei weitere Firmen neben Ledger beteiligt. Auch wenn das Sicherheitskonzept komplex und durchaus durchdacht aussieht, irgendeiner spart an irgendwelchen Sicherungskosten und das wird denen irgendwann auf die Füße fallen.

Ich habe mir das Ledger Recovery damals im Detail angesehen. Nicht weil ich es nutzen wollte sondern weil mich einfach interessiert hat, wie sie das ganze technisch absichern.

Der PK wird dabei auf drei so genannte Shards aufgeteilt. Diese Shards werden jeweils an eine Firma gesendet und dort aufbewahrt. Benötigt man nun einen Restore - aus welchen Gründen auch immer - müssen alle 3 Firmen ihren jeweiligen Shard wieder zur Verfügung stellen, woraus dann letztendlich der PK wiederhergestellt werden kann.

Der größte - und mMn. vielversprechendste - Angriffsvektor ist hier beim Versenden der Shards sodass diese abgegriffen werden. 3 Firmen gleichzeitig zu hacken und an den jeweiligen Shard zu kommen halte ich für eher ausgeschlossen. Ein einzelner Shard reicht für die Wiederherstellung nicht aus, man müsste tatsächlich an alle 3 Teile kommen.

[MinoRaiola]

Oder man könnte einfach die Daten nach einer bestimmten Zeit löschen (zB.: 3 Monate), so wäre das Risiko auch für viele einfach geringer, für einen Garantiefall wird so oder so die Rechnung benötigt.

Nach außen wird das bestimmt auch bestätigt. Intern kann man die Auftragsbücher mittlerweile sehr einfach digital "ablegen" und sie über viele Jahre speichern.

Es gibt Dinge an die man aber nicht denkt, oder die man nicht für möglich hält. Also egal wie/wo/wann man seine Daten preis gibt, ab dann gibt es prozentuales Risiko. Hier ein Beispiel: Ein französischer Steuerbeamter hat Daten von Krypto-Investoren weiter gegeben. Ernst genommen, steigern KYC Vorgaben solche kriminelle Energie, auch wenn diese Fälle gering sind. Wenn ich so etwas lese, dann empfinde ich p2p immer wieder als eine gute Lösung.


https://x.com/TFTC21/status/2009404081492906237

[Real-Duke]

Ich warte dann mal auf das Geheul, wenn Ledger Recovery Service gehackt wird. Da sind ja gut zwei weitere Firmen neben Ledger beteiligt. Auch wenn das Sicherheitskonzept komplex und durchaus durchdacht aussieht, irgendeiner spart an irgendwelchen Sicherungskosten und das wird denen irgendwann auf die Füße fallen.

Dann ist es mit dem Laden auch vorbei, aber leider stehen die Kunden wieder mit nichts da.

Das klingt sehr gruselig, auch wenn es einfach der Wahrheit entspringt: Sollte das wirklich einmal passieren, stehen am Ende die Kunden mit nichts da.
Dagegen bist Du als Kunde nicht versichert.

Bleibt nur zu hoffen, dass sie in diesem Bereich wirklich mit guten und nicht einfach nur günstigen Dienstleistern zusammen arbeiten und wie von @Lakai01 bereits erwähnt, bestimmt nicht so leicht alle 3 Parteien parallel gehakt werden können.
Scheißt auf Ledger, aber bitte nicht auf die Kunden!

[Unknown01]

Ich warte dann mal auf das Geheul, wenn Ledger Recovery Service gehackt wird. Da sind ja gut zwei weitere Firmen neben Ledger beteiligt. Auch wenn das Sicherheitskonzept komplex und durchaus durchdacht aussieht, irgendeiner spart an irgendwelchen Sicherungskosten und das wird denen irgendwann auf die Füße fallen.

Dann ist es mit dem Laden auch vorbei, aber leider stehen die Kunden wieder mit nichts da.

Das klingt sehr gruselig, auch wenn es einfach der Wahrheit entspringt: Sollte das wirklich einmal passieren, stehen am Ende die Kunden mit nichts da.
Dagegen bist Du als Kunde nicht versichert.

Bleibt nur zu hoffen, dass sie in diesem Bereich wirklich mit guten und nicht einfach nur günstigen Dienstleistern zusammen arbeiten und wie von @Lakai01 bereits erwähnt, bestimmt nicht so leicht alle 3 Parteien parallel gehakt werden können.
Scheißt auf Ledger, aber bitte nicht auf die Kunden!

Wir leisten unseren Beitrag indem wir hier darüber diskutieren und auch öffentlich die Informationen einsehbar sind wie Ledger arbeitet und wie kritisch das Thema ist. Ich gehe davon aus, dass jeder der was hier mitliest in Zukunft die Finger von Ledger weglassen wird und jeder einzelne den wir quasi warnen ist ein Gewinn. Hoffen wir aber einfach, dass zumindest die Ledger Geräte selbst sicher bleiben und von Hacks verschont bleiben..

[Koal-84]

Der größte - und mMn. vielversprechendste - Angriffsvektor ist hier beim Versenden der Shards sodass diese abgegriffen werden. 3 Firmen gleichzeitig zu hacken und an den jeweiligen Shard zu kommen halte ich für eher ausgeschlossen. Ein einzelner Shard reicht für die Wiederherstellung nicht aus, man müsste tatsächlich an alle 3 Teile kommen.

Es kommt halt drauf an, wer die drei Firmen sind, wie die arbeiten und vor allem, wie werden die Daten dort hin gebracht. Eine Hackergruppe wird ja nicht gleich Preis geben das eine der drei Firmen gehackt wurde, sonder systematisch vorgehen und die Daten nach der Reihe abgreifen und zusammen fügen. Eine Firma davon wird ja Ledger selbst sein, und die zu hacken scheint ja nicht so schwer zu sein. Bei den anderen 2/3, hoffen wir halt für die Kunden, sie haben sich nicht den billigsten Weg gesucht  .

[Cricktor]

Ich habe mir das Ledger Recovery damals im Detail angesehen. Nicht weil ich es nutzen wollte sondern weil mich einfach interessiert hat, wie sie das ganze technisch absichern.

Der PK wird dabei auf drei so genannte Shards aufgeteilt. Diese Shards werden jeweils an eine Firma gesendet und dort aufbewahrt. Benötigt man nun einen Restore - aus welchen Gründen auch immer - müssen alle 3 Firmen ihren jeweiligen Shard wieder zur Verfügung stellen, woraus dann letztendlich der PK wiederhergestellt werden kann.

Der größte - und mMn. vielversprechendste - Angriffsvektor ist hier beim Versenden der Shards sodass diese abgegriffen werden. 3 Firmen gleichzeitig zu hacken und an den jeweiligen Shard zu kommen halte ich für eher ausgeschlossen. Ein einzelner Shard reicht für die Wiederherstellung nicht aus, man müsste tatsächlich an alle 3 Teile kommen.

Das habe ich auch gemacht, vorallem um zu sehen, welche Sicherungsmaßnahmen sie ergreifen, um das Sakrileg der Extraktion von Geheimmaterial aus dem Secure Element abzusichern.

Ich finde aktuell die Doku nicht, die Ledger zum Recovery Service veröffentlicht hat. Ist auch schon etwas länger her und egal wie, es hat besiegelt, daß ich mit Ledger nichts mehr zu tun haben möchte. Egal ob der Recovery Service sicher ist und sicher bleibt. Den Beweis dazu bleibt Ledger schuldig.

Ich meine mich zu erinnern, daß die Shards verschlüsselt werden, mit Irgendetwas, das an die Ledger Hardwarewallet gebunden ist. Ein Abfangen der Shards auf ihrem Transit bringt daher aus meiner Verständnis heraus nicht viel. Ledger Live Software sollte auch eine verschlüsselte Verbindung zu Ledger und den anderen beteiligten Firmen nutzen. Es gab aber irgendeinen halbwegs schlauen Weg, die Bindung an die ursprüngliche Hardwarewallet zu umgehen, wenn man musste. Wäre ja auch blöd, wenn die Wiederherstellung nicht ginge, wenn z.B. die ursprüngliche Hardwarewallet kaputt gegangen ist oder verloren wurde.

Ich sehe das schwächste Glied hier tatsächlich in der Softwarekomponente von Ledger Live selbst. Das ist ein hackbares Stück Software, das von Malware angegriffen, gepatcht und ausgenutzt werden kann.

Ich kann mich zwar nicht genau erinnern, meine aber, daß zu keiner Zeit die wesentlichen Geheimnisse je unverschlüsselt außerhalb der Ledger Hardwarewallet auftauchen, denn das wäre ja zu einfach und schlicht grenzenlos dumm. Wäre das der Fall, tauschte man die Sicherheit einer Hardwarewallet gegen die Sicherheit eines Stücks Software auf einem Nutzergerät aus. Das macht ja nun überhaupt keinen Sinn und so dumm ist selbst Ledger nicht.