Bitcoin wallet Ledger’s database hacked + Campagne de phishing en cours

[LeGaulois]

Pas tellement vrai, on ne leur demande pas de coder un nouveau shopify, drupal, ou WP

Si c'est pour une histoire de couts, ca leur reviendrait moins cher de se passer de shopify et de construire quelque chose basé sur Wordpress par exemple. Ce qui leur donnerai en plus de ca beaucoup plus de fonctionnalités et d'opportunités.
Il y a forcement un webadmin derrière le site donc il peut aussi être derrière un WordPress. Ils ont également certainement un community manager. Un CM est censé pouvoir gérer Wordpress, ca fait partie des bases.

Et puis si c'était pour la sécurité, ben la du coup c'est foutu vu ce qui leur arrive. Tu trust quelqu'un et cette personne est le point faible (les 2 employés). c'est ironique même.

C'est comme si le journal Le Monde passait sur blogspot parce que leur cœur de métier c'est le journalisme, fournir du contenu et non pas de créer et maintenir un site CMS

[1714775060]

1714775060

[GrosWesh]

Un entretien relativement intéressant avec un représentant de Ledger, comprenant entre autres un résumé du déroulement des faits de a à z :

https://www.youtube.com/watch?v=H_woLUcYI5M

[Beauzebut]

Comment peut ton savoir si nos propres données ont fuité ?

[GrosWesh]

Comment peut ton savoir si nos propres données ont fuité ?

Un lien pour accéder à la base de donnée qui a fuité a été posté ici --> https://bitcointalk.org/index.php?topic=5265359.msg55887687#msg55887687

[LeGaulois]

La base de données est a été publié sur le net, il y a un lien posté un peu plus tot dans cette discussion, tu peux chercher toi même dedans.

Autrement il y a un moyen d'aller plus vite.
Si tu as recu plusieurs spams dernierement, que ce soit sur ta boite mail ou SMS, te demandant de mettre à jour Ledger Live parce que soit disant ton wallet est potentiellement vulnérable c'est que tes infos perso sont bien incluses dans cette fuite.

Si tu n'as rien recu de tel, il y a de grande chance que tes données n'aient pas fuité

...

Mdr les gens qui pensent que l'entreprise pourrait donner des indemnités.

En tout cas je trouve qu'ils font bien le travail niveau communication. Pas facile pour eux.
Vis ma vie de Ledger en 2020: entre crise covid et faille de sécurité

[Beauzebut]

Merci !

[GrosWesh]

Ce matin j'ai reçu un coup de fil d'un sympathique mec du service client Ledger qui tenait à me prévenir qu'une mise à jour de sécurité importante venait de sortir. Je l'ai écouté très briévement, étant en train de travailler et je l'ai courtoisement envoyé promener en lui disant que son appel était une tentative d'escroquerie à 95% de chances et que je n'avais pas de temps.

Et ce soir, je regrette de ne pas avoir été plus malin et patient : j'aurai kiffé avoir sur le moment le réflexe de rentrer dans son jeu, tranquillement, jusqu'au moment inévitable où il m'aurait demandé de lui confier mes mots de portefeuilles. Tain j'ai vraiment été mauvais ! J'aurai pu lui dire 'ça tombe bien, je garde la carte toujours dans mon portefeuille, ne quittez pas'....'alors... vous avez de quoi noter ?'...'c'est bien les 24 mots qui sont sur la carte que vous voulez'... 'oui ? ... alors... 'Va...te...faire...' et je suis certain qu'il aurait raccroché de colère.

Vivement qu'un autre me rappelle !! 

[asche]

Vivement qu'un autre me rappelle !! 

Je serais vraiment curieux de savoir si c'est un call center avec une série de question développée spécialement par les "hacker" ou n'importe qui, ou si les mecs savent réellement ce qu'ils font...

[GrosWesh]

Vivement qu'un autre me rappelle !! 

Je serais vraiment curieux de savoir si c'est un call center avec une série de question développée spécialement par les "hacker" ou n'importe qui, ou si les mecs savent réellement ce qu'ils font...

Bof moi je vois ça comme un type isolé qui part à la pêche  Avec moi il a fait bredouille. Mais un naif pourrait peut être (et encore) se laisser embobiner par le ton solennel que le gars prend au téléphone.

Le bemol c'est que les gens qui ont fait l'effort de se procurer un cold wallet ont déja des notions relativement avancées des mesures de sécurité à prendre. De facto ce n'est quand même pas le meilleur panel pour de escrocs, et c'est tant mieux.

[LeGaulois]

'tin j'aimerais qu'on m'appelle.

Je lui dirais de venir sur Zoom, et je lui ferai un coup comme ca https://www.youtube.com/watch?v=qDCwym3blDk
avec un mix de la chaine Sandoz.
Après l'avoir fait tourner en bourrique tu luis dis "attend je vais prendre une photo" et tu lui donnes ca

Sinon, tu as remarqué un accent étranger? T'as un numéro de tèl?

[GrosWesh]

Sinon, tu as remarqué un accent étranger? T'as un numéro de tèl?

Haha oui il y a clairement moyen de se foutre de leur g... J'ai manqué de présence d'esprit ce matin.

Non aucun accent, très bonne élocution, posé, voix grave mdr se la jouait hyper sérieux.

Sinon oui bien sûr j'ai le numero mais ça ne servira à rien, quand tu rappelle (meme aussitôt) un message vocal te dit que le numéro n'est pas attribué. Je ne l'ai pas rappelé lui mais je l'ai fait au moins 3 fois avec d'autres. D'ailleurs ça faisait un moment que je n'avais pas reçu d'appel, ça va se tasser.

[LeGaulois]

Encore une gaffe de chez Ledger, certes moins sérieuse, mais ils ont vraiment un problème chez eux...

- La personne achète un wallet Ledger.
- Après quelques heures, elle reçoit un email d'une personne qu'elle ne connait pas, et qui lui dit:

Eh j'ai acheté un Ledger et j'ai reçu un email de confirmation, mais au lieu que ce soit mes coordonnées, c'est les tiennes. Avec nom/prénom adresse, etc

En gros, tu fais un achat et tes coordonnées personnelles sont envoyées par email à une autre personne


https://www.reddit.com/r/ledgerwallet/comments/llm3yp/beware_ledger_shop_appears_to_be_leaking_order/

[GrosWesh]

Il fallait s'y attendre, une class action vise Ledger (ainsi que Shopify) aux usa.

https://journalducoin.com/bitcoin/piratage-de-donnees-ledger-face-a-une-class-action-aux-etats-unis/

J'aime assez la conclusion d'Hellmouth  

"Quant à Ledger, habitué à communiquer exclusivement dans la langue de Shakespeare, l'occasion et la tribune seront parfaites pour continuer à progresser en la matière".

[RoyalMoney]

je sais pas chez vous mais ils ont repris du poil de la bête, une semaine d'appel et sms en provenance des pays-bas 

[GrosWesh]

je sais pas chez vous mais ils ont repris du poil de la bête, une semaine d'appel et sms en provenance des pays-bas 

Rassures toi tu n'es pas le seul lol... Des appels chaque jour depuis plusieurs pays de mon côté. Généralement je ne répond pas, mais une fois  ou deux j'ai claqué un 'fuck you' en guise de bonjour avant de raccrocher. C'est con mais ça fais du bien 

Maintenant que la database est sortie c'est un annuaire pour emmerdeurs et arnaqueurs de tous poils...

[RoyalMoney]

(merci Ledger) j'espère qu'ils vont pas essayer chacun à leur tour pendant des années

[GrosWesh]

(merci Ledger) j'espère qu'ils vont pas essayer chacun à leur tour pendant des années

Des années je sais pas mais ça a leaké et c'est public maintenant qu'on le veuille ou non... Seule chose à faire pour éviter les appels intempestifs : changer de numéro de mobile...

[LeGaulois]

Pour l'instant aucun reçu chez moi, je me sent presque comme un VIP chez Ledger 


Bien que sur une boite mail c'est pas trop dérangeant en partant du principe que tu utilises une boite mails 'poubelle', mais un mobile ou fixe c'est la merdas. Seul moyen, changer de numéro, ce qui peut être hyper chiant.
Après il doit bien y avoir des applications, ou même des réglages qui permettent de bloquer les appels reçus en provenance de pays autre que la France

Par contre les emails, ca y va les tentatives de phishing en utilisant blockchain.com, et autre wallets

[RoyalMoney]

Pour l'instant aucun reçu chez moi, je me sent presque comme un VIP chez Ledger 


Bien que sur une boite mail c'est pas trop dérangeant en partant du principe que tu utilises une boite mails 'poubelle', mais un mobile ou fixe c'est la merdas. Seul moyen, changer de numéro, ce qui peut être hyper chiant.
Après il doit bien y avoir des applications, ou même des réglages qui permettent de bloquer les appels reçus en provenance de pays autre que la France

Par contre les emails, ca y va les tentatives de phishing en utilisant blockchain.com, et autre wallets

bloquer les numéros ça va, mais tout un pays c'est embêtant.
Sur mon smartphone, j'ai "smart contact" qui indique parfois si le numéro est connu comme "fraude potentiel" (ça fonctionne assez bien)

[aesma]

J'ai pas mal d'appels de ce style, je n'avais pas fait le rapprochement. J'ai tendance à ne pas répondre quand je ne connais pas le numéro, mais en plus effectivement mon Samsung me signale systématiquement "fraude potentielle" ou "suspicion de spam" donc là je réponds encore moins.