Ledger Security Notice-Información comprometida- OJO: Phishing/Smishing en curso

[DdmrDdmr]

Normalmente no me gusta postear un contenido a modo de mera copia del contenido + enlace, pero en esta ocasión merece la pena:

https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach

Our ecommerce and marketing database leaked, we immediately fixed the breach. Contact and order details were involved. Your funds are safe.
 

What happened?

On the 14th of July 2020, a computer researcher that participated in our bug bounty program notified us of a potential data breach on the Ledger website. We immediately fixed the breach after receiving the researcher’s report and undertook an internal and external investigation of the situation. While conducting the investigation, we discovered an unauthorized third party had gained access to customer information.  
 

What personal information was involved?

Contact and order details were involved. This is mostly the email address of our customers. Further to investigating the situation we have also been able to establish that, for a subset of customers were also exposed: first and last name, postal address, phone number and ordered products. Due to the scope of this breach and our commitment to our customers, we have decided to inform all of our customers about this situation.

Payment information, credentials (passwords) or crypto funds are not impacted by this data breach. This data breach has no link nor impact on our hardware wallets and the Ledger Live application. Your crypto assets are safe and are not in peril.
 

What we have done, what we are doing

We have taken immediate action on 14th of July 2020, to resolve the data breach.

On the 17th of July, we notified the CNIL -- the French Data Protection Authority -- about this data breach and are continuing to work with authorities throughout the legal process.

We are continuously monitoring for evidence of our customers’ contact details being disclosed on the internet, and have found none thus far. We also performed an internal penetration test.

We are currently in the process of filing a complaint before the French public prosecutor regarding the unauthorized access and we will support law enforcement investigation.

We are extremely regretful for this incident. We take privacy very seriously, and we sincerely apologize for the inconvenience this matter may cause you.
 

What you can do

We recommend you exercise caution -- always be mindful of phishing attempts by malicious scammers.

As a reminder, Ledger will never ask you for the 24 words of your recovery phrase. If you receive an email that looks like it came from Ledger asking for your 24 words, you should definitely consider it a phishing attempt.

We suggest you visit Ledger Academy security section to educate yourself on general security principles and more precisely our article about phishing attacks.

Pascal Gauthier, Ledger CEO

Si lo anterior es completamente cierto, y los hechos y el alcance de la brecha en la seguridad son tal y como se describe, debemos estar muy atentos a intentos de phishing personalizados a lo largo de los próximos tiempos.

[1714150743]

1714150743

[FullNode]

Gracias por compartir,el documento del ceo,es grave desde todos los angulos semire por donde se mire,si bien es grave el desaparecer de las monedas no es menos grave la exposicio de los datos personales direccion incluida,da bastante grima

[famososMuertos]

phishing
inghsihp

No importa como lo escriban las personas caen una y otra vez.

...Nuestra base de datos de comercio electrónico y marketing se filtró,...

No estoy seguro, en que parte admiten que fue culpa de ellos, porque un empleado "mal uso el mouse" , luego hizo clic donde no deba. Dejan claro por donde se filtro la informaciòn y porque no esta en riesgo.

Pues por lo general las promociones solo implica informaciòn "bàsica" pero el hecho  que mi email este en manos de terceros  a los cuales no le cedí esa informaciòn no es molestia, es dinero en riesgo y seguridad en el largo plazo comprometida.

Un caso asì sucedió "creo" a principios de año con UpHold de hecho me llego un correo con una promoción para depositar y obtener un bono. Era falso.

El punto es, què tu información de cualquier lugar puede estar en riesgo por culpa de un tercero y lo peor justo estar o haber sucedido y te enteras cuando te lo dicen. (!! ¿?)

Lo ùnico positivo aquí es que lo descubrieron no dice fecha de la violaciòn precisa, la fecha que mencionan es la fecha en la cual lo descubrieron,que es una fecha muy diferente de cuando sucedió la violaciòn.

----
Hola FullNode, no veo donde el CEO firma esa carta, que da igual, pero es bueno ver que en estos casos los CEO salen a dar la cara.

[DdmrDdmr]

Ok, aquí delimita el alcance un tanto: https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach

Si nos lo creemos, se trata de:

- Un acceso no autorizado a través de una llave API.

- Estiman que hay 1M de direcciones de correo electrónico implicadas.

- Los datos personales robados se ciñen a 9.500 (pero no especifica un criterio).

- Se ha informado por correo a todos los implicados (aunque no especifica de si los casos en los cuales además se filtraron sus datos personales han sido informados de este hecho explícitamente).

Que los datos personales filtrados se ciñan a una porción pequeña, mal que nos pese, es buena noticia. En países más o menos civilizados, es improbable que criminales hiciesen una campaña puerta a puerta con estos datos, aunque no diría lo mismo de ciertos países.

[DdmrDdmr]

Corolario a la brecha de seguridad: intento de phishing targetizado, aparentemente sobre la base de clientes que fue objeto de la información que quedó comprometida, tal y como se describe en el OP de este hilo.

Si recibís un correo del siguiente estilo:

Que sepias que es un intent de phishing, con más profesionalidad de lo habitual, y probablemente no genérico, sino que está targetizando los correos electrónicos que fueron hackeados en el fallo de seguridad reportado en el OP.

En el siguiente hilo hay más información al respecto: Warning - Ledger phishing emails.

Parece que el correo incita al lector a clicar en un link y bajarse una supuesta actualización de Ledger Live (el software de gestión) falsa. He visto reportes al respecto, pero no un análisis de su actividad y operativa real. Puede que lo primero que haga sea pedirte el mnemotécnico y remitirlo al hacker, sin que funcione nada más (especulación mía).
-> creo que es así https://peakd.com/ledger/@hatoto/your-ledger-wallet-may-be-compromised-ledger-phishing (último párrafo - traducir del Alemán al Español).

[Porfirii]

Joooooooobar,

Yo todo lo que me llega de Ledger al correo lo borro sin abrir porque casi siempre es spam y si hay alguna noticia importante de verdad espero enterarme por RRSS.

Si además de spam, entra phishing, me da que igual hasta me doy de baja y que no me llegue nada, así sabré seguro que si me llega algo de Ledger será falso.

Vaya tiempos vivimos; entre esto y el hacker de Harvest Finance... ¡con la cantidad de maneras honradas que hay de ganarse la vida! Pues que les cunda el Lambo, así se metan la gran ostia con él

[DdmrDdmr]

<…>

Los correos originados por parte de Ledger (real o impostor) creo que debemos seguir mirándolos, si bien con detenimiento como es habitual, de la misma manera que sucede con entidades bancarias, comercios, organismos estatales y demás.

Lo que si debemos es contrastar con la página web oficial, para cercionarnos de que el correo es legítimo, y no pinchar ningún link dentro del correo sin antes ver si podemos evitarlo, que es lo que suele suceder. Por ejemplo, si versase sobre una actualización de seguridad, lo contrastaría primero con la web oficial, y luego lo realizaría desde Ledger Live – nunca desde un link en un correo.

P.D. Por cierto, que de vez en cuando, cabe actualizar el firmware por si acaso (hace algunos meses leí de casos que, teniendo versiones de firmware de hace unos años, no podían actualizar el firmware, y el dispositivo ya no se conectaba a Ledger Live por ser antiguos).

[Porfirii]

P.D. Por cierto, que de vez en cuando, cabe actualizar el firmware por si acaso (hace algunos meses leí de casos que, teniendo versiones de firmware de hace unos años, no podían actualizar el firmware, y el dispositivo ya no se conectaba a Ledger Live por ser antiguos).

Pues esto sí que es interesante, no vaya a ser que pensando que tenemos los funds seguros en un cajón, resulte que cuando queramos disponer de ellos nos llevemos una desagradable sorpresa

Voy a hacerlo ahora. Gracias DdmrDdmr.

Edito: Dejo link al vídeo sobre cómo hacerlo: https://www.youtube.com/watch?v=_2W0qqCd-IY
Aunque lo mejor en estos casos es siempre acudir a la página web oficial.

[DdmrDdmr]

Ahora, además de la/las campañas de phishing por email dirigidas a clientes reales de Ledger, tenemos una en marcha mediante SMS. Esto denota que una parte de los teléfonos de los clientes están circulando por los inframundos, y que los receptores deberían estar sobre aviso.

Uno tiende a creerse más a una llamada a la acción recibida en el teléfono móvil particular que un correo electrónico, pero el riesgo es realmente el mismo en ambos casos. Si acaso, es lógicamente peor recibir el SMS, dado que en este caso, sabemos que está dirigido a clientes existentes de Ledger, y esto da pie a que puedas ser objeto de vishing a corto plazo.


Ver: https://www.reddit.com/r/ledgerwallet/comments/jjc2qr/scam_textbut_how_did_they_get_my_name_number/

Obsérvese, que además el mensaje está personalizado con el nombre real del receptor.

[Csmiami]

----

Reporte esta misma situación ayer mismo, pero parece ser que se ha ignorado completamente...  Creo que se trata del mismo filtrado que los email, pero separado en 2 para tener mayor alcance. El contenido del mensaje tampoco es que estuviera muy currado, y no uso Ledger personalmente asique tampoco me hubiera afectado

I have jsut received an SMS (lmao) from Ledger asking me to update the firmware because "the previous one has a bug". I was surprised that I had not received any email with the phishing attempt, because I had bought a couple of Ledgers back in April, but if no one else confirms they have received a similar message, I think it's safe to assume that they divided the database in 2 to try to reach to more people using different methods?

PS: I assume it's a phishing attempt because the website it asks me to check is https://ledger.legalwebsite (most likely my phone cut the link)

[DdmrDdmr]

En teoría, el fallo de seguridad del pasado verano resultó en el robo de 1M de correos electrónicos, además de 9.500 registros de clientes más personales aún, incluyendo el teléfono, el nombre y la dirección (ver https://support.ledger.com/hc/en-us/articles/360015559320-E-commerce-and-Marketing-data-breach-FAQ). Ledger aseguró que se comunicó por correo electrónico con estos 9.500 clientes impactados de forma más grave, comunicándoles este hecho por correo electrónico.

No obstante, he leído varios casos ya en Reddit a los que les venía todo esto como nuevo, lo que da lugar a dudar si la brecha con los datos de contacto adicionales fue más amplia de los 9.500 clientes impactados (o bien que el correo con la notificación oficial de Ledger se quedó en el buzón de spam y/o no lo leyeron en su momento).

[Porfirii]

Reporte esta misma situación ayer mismo, pero parece ser que se ha ignorado completamente...  Creo que se trata del mismo filtrado que los email, pero separado en 2 para tener mayor alcance. El contenido del mensaje tampoco es que estuviera muy currado, y no uso Ledger personalmente asique tampoco me hubiera afectado

A mí no me ha llegado nada pero viendo que no sólo se queda en la noticia sino que además os está llegando el SMS le pasaré tres veces el filtro a todo lo que me llegue de Ledger.

[Csmiami]

----

Estoy bastante convencido de que han sido mucho mas de 9500 clientes...
Por otro lado, destacar que si bien es posible que se me quedase en la carpeta de spam y nunca llegase a leer el email "personal"; lo veo poco probable por mis costumbres con respecto al email.


Un poco aparte, y sobre todo por el tema de esos supuestos 9500, voy a realizar una consultilla a la agencia de protección de datos, para ver si puedo reclamar algún tipo compensación por este importunio de tener mis datos filtrados deambulando por ahí de un lado a otro. Iré manteniendo al día si veo que la cosa puede llegar a alguna parte, con creación de hilo consecuentemente en inglés para tener más alcance en el caso de que vea que algo se puede hacer.

Se perfectamente que un filtrado de datos es algo que le puede pasar a "cualquier" empresa, pero una que está enfocada en ciberseguridad, y que no se haya pronunciado desde el anuncio y no haya notificado a todos los afectados... me mosquea un poco la cosa, la verdad


@Porfirii, por lo que he sacado de los últimos posts tuyos que he leido eres también de por euskadi, asique si quieres que te vaya poniendo al día según me respondan no me cuesta nada.