Bitcoin wallet Ledger’s database hacked + Campagne de phishing en cours

[elma]

Les gens ne peuvent pas faire livrer ça dans un point relais au lieu de leur adresse directement ?

Non.

Pourquoi non ? Ils le peuvent. Mais je pense comprendre ce que tu veux dire, à savoir qu'ils s'imaginent (à tort apparemment) qu'une boite qui vend des solutions de stockage sécurisé pour les cryptos devraient être blindés eux mêmes niveau sécurité.  

Si je me souviens bien, il n'y a que livraison à domicile qui est proposé par Ledger.

[1715141168]

1715141168

[1715141168]

1715141168

[1715141168]

1715141168

[1715141168]

1715141168

[1715141168]

1715141168

[GrosWesh]

Si je me souviens bien, il n'y a que livraison à domicile qui est proposé par Ledger.

Je ne m'en souviens pas mais il devait être possible de faire livrer ça par exemple au nom d'une société ou en boite postale (même sous le nom de 'livraison à domicile')

C'est d'ailleurs l'argument donné par Jameson Lopp (dans l'article dont Patrickus a déja posté le lien : https://decrypt.co/52215/ledger-wont-reimburse-users-after-major-data-hack).

'Lopp argued that Ledger’s customers shouldn’t blame the company for the hack. He said that they chose to give the company their personal addresses, when they could have used mail boxes, or even company addresses, to stay private.'

Il va d'ailleurs plus loin :

'[The hack] was inevitable. Fundamentally information wants to be free. This is a recurring theme that you see across any service that stores large amounts of information'
'There is nothing wrong with Ledger’s products. Their products are still secure as far as we know. The insecurity is with the humans using their products.'

[Saint-loup]

Si je me souviens bien, il n'y a que livraison à domicile qui est proposé par Ledger.

Je ne m'en souviens pas mais il devait être possible de faire livrer ça par exemple au nom d'une société ou en boite postale (même sous le nom de 'livraison à domicile')

C'est d'ailleurs l'argument donné par Jameson Lopp (dans l'article dont Patrickus a déja posté le lien : https://decrypt.co/52215/ledger-wont-reimburse-users-after-major-data-hack).

'Lopp argued that Ledger’s customers shouldn’t blame the company for the hack. He said that they chose to give the company their personal addresses, when they could have used mail boxes, or even company addresses, to stay private.'

Il va d'ailleurs plus loin :

'[The hack] was inevitable. Fundamentally information wants to be free. This is a recurring theme that you see across any service that stores large amounts of information'
'There is nothing wrong with Ledger’s products. Their products are still secure as far as we know. The insecurity is with the humans using their products.'

Ledger a au moins confirmé qu'ils étaient ok avec ça? Je reste dubitatif, si ils ne permettaient pas la livraison en point-relais je vois mal pourquoi ils accepteraient de livrer à une compagnie tierce. J'ai l'impression que c'est encore un yaka faucon qui inverse les culpabilités... dit-il aussi aux femmes violées que si elles avaient porté un blue-jean au lieu d'une mini, ça ne serait pas arrivé?  
Perso je n'ai jamais voulu acheter de ledger pour ça et pour les failles et bugs récurrents dont on entend régulièrement parler, pourtant ça ne me viendrait pas à l'idée d'accuser les victimes d'imprudence, voir d'irresponsabilité.

[GrosWesh]

Ledger a au moins confirmé qu'ils étaient ok avec ça? Je reste dubitatif, si ils ne permettaient pas la livraison en point-relais je vois mal pourquoi ils accepteraient de livrer à une compagnie tierce. J'ai l'impression que c'est encore un yaka faucon qui inverse les culpabilités... dit-il aussi aux femmes violées que si elles avaient porté un blue-jean au lieu d'une mini, ça ne serait pas arrivé?  
Perso je n'ai jamais voulu acheter de ledger pour ça et pour les failles et bugs récurrents dont on entend régulièrement parler, pourtant ça ne me viendrait pas à l'idée d'accuser les victimes d'imprudence, voir d'irresponsabilité.

Son avis est assez extrême, mais bon c'est le personnage qui est comme ça. C'est assez poilant comme vous partez au quart de tour, je me demandais lequel réagirait comme ça en premier haha. Il a donné son avis quoi. Il faut dire qu'il est très à cheval sur les principes de sécurité et d'anonymat, notamment depuis qu'il s'est fait swat il y a pas mal de temps. Bref, mais effectivement ce que j'en retiens c'est comme tu l'as dit, quelle serait la position de Ledger concernant les modes d'expédition ? (Est on déja certain qu'ils ne proposaient que les envois à domicile ??).

[elma]

(Est on déja certain qu'ils ne proposaient que les envois à domicile ??).

Sûr à 99%, je l'aurai pris.
D'ailleurs ça n'existe toujours pas, je viens d'essayer. D'ailleurs 11€ de frais de port...Ils doivent compter la gestion de la base de données dans ces frais !

Se faire livrer en entreprise ? dans son entreprise ? tout le monde ne peut pas.
Prendre une boîte postale ? ouais, pourquoi pas.

[patrickus]

Toute cette affaire n'est pas une bonne publicité pour les cryptos car les gens découvrent qu'il n'y a pas que des avantages à "être sa propre banque". Un truand peut se rendre au domicile d'une personne pour le forcer à lui révéler ses clés d'accés à ses cryptos mais il ne peut pas lui prendre l'argent qu'il a à la banque.

[asche]

(Est on déja certain qu'ils ne proposaient que les envois à domicile ??).

Sûr à 99%, je l'aurai pris.
D'ailleurs ça n'existe toujours pas, je viens d'essayer. D'ailleurs 11€ de frais de port...Ils doivent compter la gestion de la base de données dans ces frais !

Se faire livrer en entreprise ? dans son entreprise ? tout le monde ne peut pas.
Prendre une boîte postale ? ouais, pourquoi pas.

Ledger vend aussi sur amazon. Et là tu peux mettre en pickup.

[Saint-loup]

Toute cette affaire n'est pas une bonne publicité pour les cryptos car les gens découvrent qu'il n'y a pas que des avantages à "être sa propre banque". Un truand peut se rendre au domicile d'une personne pour le forcer à lui révéler ses clés d'accés à ses cryptos mais il ne peut pas lui prendre l'argent qu'il a à la banque.

Il y a des "semi" solutions avec les wallets multi-signatures, Coinbase propose d'ailleurs un "coffre-fort" nécessitant la confirmation de plusieurs utilisateurs et imposant un délai de sécurité de 48h pour effectuer toute transaction sortante https://www.coinbase.com/vault
Mais bon si le truand n'est pas au courant de ça, ça ne va pas l'empêcher de venir te rendre visite chez toi et de te casser les pieds (au figuré ou au sens propre)

[elma]

(Est on déja certain qu'ils ne proposaient que les envois à domicile ??).

Sûr à 99%, je l'aurai pris.
D'ailleurs ça n'existe toujours pas, je viens d'essayer. D'ailleurs 11€ de frais de port...Ils doivent compter la gestion de la base de données dans ces frais !

Se faire livrer en entreprise ? dans son entreprise ? tout le monde ne peut pas.
Prendre une boîte postale ? ouais, pourquoi pas.

Ledger vend aussi sur amazon. Et là tu peux mettre en pickup.

Oui c'est une solution. D'ailleurs c'est bizarre que ce soit possible de chez Amazon mais pas de chez eux.
Peut-être que c'est Amazon qui gère un stock et les expéditions...du coup, ça rajoute un intermédiaire en qui il faut avoir confiance.

[asche]

(Est on déja certain qu'ils ne proposaient que les envois à domicile ??).

Sûr à 99%, je l'aurai pris.
D'ailleurs ça n'existe toujours pas, je viens d'essayer. D'ailleurs 11€ de frais de port...Ils doivent compter la gestion de la base de données dans ces frais !

Se faire livrer en entreprise ? dans son entreprise ? tout le monde ne peut pas.
Prendre une boîte postale ? ouais, pourquoi pas.

Ledger vend aussi sur amazon. Et là tu peux mettre en pickup.

Oui c'est une solution. D'ailleurs c'est bizarre que ce soit possible de chez Amazon mais pas de chez eux.
Peut-être que c'est Amazon qui gère un stock et les expéditions...du coup, ça rajoute un intermédiaire en qui il faut avoir confiance.

Bien sûr que c'est amazon qui gère la logistique

Parce que tu crois que ledger gère sa logistique ? Tu rêves c'est un 3PL (third party logistics).

[elma]

(Est on déja certain qu'ils ne proposaient que les envois à domicile ??).

Sûr à 99%, je l'aurai pris.
D'ailleurs ça n'existe toujours pas, je viens d'essayer. D'ailleurs 11€ de frais de port...Ils doivent compter la gestion de la base de données dans ces frais !

Se faire livrer en entreprise ? dans son entreprise ? tout le monde ne peut pas.
Prendre une boîte postale ? ouais, pourquoi pas.

Ledger vend aussi sur amazon. Et là tu peux mettre en pickup.

Oui c'est une solution. D'ailleurs c'est bizarre que ce soit possible de chez Amazon mais pas de chez eux.
Peut-être que c'est Amazon qui gère un stock et les expéditions...du coup, ça rajoute un intermédiaire en qui il faut avoir confiance.

Bien sûr que c'est amazon qui gère la logistique

Parce que tu crois que ledger gère sa logistique ? Tu rêves c'est un 3PL (third party logistics).

Je sais pas...j'ai le souvenir d'un reportage avec des boites de Nano empilées au siège à Vierzon.

[asche]

Je sais pas...j'ai le souvenir d'un reportage avec des boites de Nano empilées au siège à Vierzon.

Ce n'est pas impossible qu'ils aient commencé comme ça, ou même qu'ils le font encore mais c'est très improbable.

Le genre de système a mettre en place pour de la distribution a cette échelle ça coûte une fortune et surtout ce n'est pas facile. Ça veut dire une plateforme logistique, des camions pour livrer la poste, etc.

Vu la taille d'un ledger et un volume de vente quotidien que j'estime somme toutes assez faible, ce serait fou qu'ils ne contient pas la gestion du stock et des expéditions a un spécialiste.

Surtout que ça n'a que des avantages pour eux. Expéditions plus rapides et moindres coûts.

[perl]

Vu la taille d'un ledger et un volume de vente quotidien que j'estime somme toutes assez faible, ce serait fou qu'ils ne contient pas la gestion du stock et des expéditions a un spécialiste.
Surtout que ça n'a que des avantages pour eux. Expéditions plus rapides et moindres coûts.

Discutable quand tu n'a que 4 référence. Et que 95% des commandes n'utilise que 2 référence.

[GrosWesh]

La base de donnée qui a fuité a été étudiée et il en résulte quelques graphiques/cartes.

Bon on y apprend rien de révolutionnaire  mais c'est propre...

https://onchainreport.fr/hack-legder-visualisation

Les conseils donnés à la fin sont par ailleurs judicieux (même si là encore rien de nouveau) :

'Si vous êtes clients de Ledger, vos clés privées (donc vos bitcoins and co) sont à l’abri. Néanmoins, vous recevez et recevrez de nombreux mails, SMS ou lettres de phishing. Changez, si vous le pouvez d’adresse mails, mots de passes voir de n° de téléphone et activez sur toutes vos plateforme l’authentification à deux facteurs (pas par  SMS), achetez et utilisez une Yubikey.'

[mikmrc]

Je ne sais pas si ca a été dit mais la base de donnée est disponible sur raidforum gratuitement

[Saint-loup]

Je ne sais pas si ca a été dit mais la base de donnée est disponible sur raidforum gratuitement

ca fait juste 6 pages qu'on en parle  t'es revenu à cause du bull run ou quoi? 

[mikmrc]

Je ne sais pas si ca a été dit mais la base de donnée est disponible sur raidforum gratuitement

ca fait juste 6 pages qu'on en parle  t'es revenu à cause du bull run ou quoi? 

J'avoue que j'ai eu la flemme de lire  .

J'ai ete pas mal malade les dernières semaines, ce qui explique mon absence 

[steph78]

Bonjour à tous,

J'ai reçu un nouvel email de Ledger aujourd'hui "Security Notice", qui semble un vrai mail de Ledger.
Voici un extrait:

"NFORMATION DE SECURITE - Ledger impacté par la fuite de données de Shopify
Chère client(e),
Le 23 décembre 2020, Shopify, notre fournisseur de service e-commerce a informé Ledger d’un incident impliquant les données de ses marchands. Un ou des agents malhonnêtes au sein de leur équipe de support client ont obtenu en Avril et Juin 2020 certaines données de clients Ledger ayant effectué des achats sur Ledger.com. Cet incident est lié à celui qui a été communiqué par Shopify en Septembre 2020 et qui concerne plus de 200 marchands. Jusqu’au 21 décembre 2020, Shopify n’avait pas identifié que Ledger était également concerné par cet incident.
Nous avons pu examiner les données dérobées avec l’aide d’une société d’analyse d’attaques informatiques pour identifier qui étaient les clients impactés."

Est-ce que cela signifie que c'est un NOUVEL incident avec Ledger ??

Edit : Quelqu'un sait me dire comment on fait pour demander à Ledger de supprimer nos données dans leur base ?

[Saint-loup]

Est-ce que cela signifie que c'est un NOUVEL incident avec Ledger ??

Oui mais pire que le précédent, car là ça touche 292 000 clients alors que le précédent en touchait "seulement" 272 000.

Along with forensic firm Orange Cyberdefense we were able to establish that it affects approximately 292,000 customers. While the database is 93% similar to those exposed in the previous attack there were approximately 20,000 new customer records including, email, name, postal address, product(s) ordered and phone number included in this breach.

https://www.ledger.com/blog/update-efforts-to-protect-your-data-and-prosecute-the-scammers

[elma]

Je l'ai reçu aussi. Ca semble être officiel.
Désormais, on sait qu'un employé de chez Shopify a volé les données. D'après moi, il lui reste peu de temps pour se planquer au fin fond de l'Amazonie.
Ensuite, ils parlent d'une nouvelle façon de protéger ses cryptos en plus de la seed...