Csmiami
Copper Member
Legendary
 Offline
Activity: 1596
Merit: 1319
I'm sometimes known as "miniadmin"
|
 |
December 22, 2020, 09:13:40 PM
Last edit: December 23, 2020, 01:02:57 AM by Csmiami |
|
Casi se me olvida publicar la actualización de ayer. Por fin, han admitido que mis datos se han filtrado y he recibido por un lado el email general de que se informaría a todos los afectados, y luego el "personalizado" de que soy un afectado. Sinceramente, me quedo sin comillas con el personalizado; ya que se trata de un muy generico copia pega que encima no lista todos mis datos filtrados con exactitud (faltan el email y el telefono)... Todo es tan subrealista que ya no se sinceramente ni que opinar; como pueden ser tan descerebrados de decirme la lista de datos filtrados incompleta cuando está publicamente disponible y puedo comprobarlo? Os juro que ya no se ni que pensar sobre este tema Edit: Pues acabo de ver que hubo un segundo email en mi carpeta de spam, curioso que uno si pase y otro no... en dicho email, se copia pega absolutamente todo el email anterior, se le añade un espacio entre 2 parrafos, y se añade el telefono a la lista de datos filtrados. Ahora solo les falta un tercer email añadiendo el email a la lista  |
|
|
|
|
|
|
"Bitcoin: the cutting edge of begging technology." -- Giraffe.BTC
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
December 23, 2020, 11:38:17 AM |
|
<…>
No dan en el clavo ni con el comunicado, el cual debería revisarse concienzudamente por parte de varias personas para tener el Ok (claro, eso si los revisores conocen exactamente el contexto de lo sucedido, que ya les vale en caso contrario). Más allá del hackeo de base, y su difusión en foros turbios, creo que globalmente se ha errado en propagar en múltiples fuentes los enlaces a la información. Personalmente, prefiero que un conjunto de hackers y hackers-wannabe tengan acceso a los datos, a que los adicionalmente los tenga fácilmente accesibles cualquier vecino de mi ciudad. Uno ya puede conocer si está en la lista, sin tener que tener la lista accesible con tanta facilidad. |
|
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
December 24, 2020, 10:58:46 AM |
|
Creo que de las cosas que si se debería hacer es, probablemente, cambiar el número de móvil. Más que nada para minimizar el riesgo de Sim Swapping. Ya puestos, lo mejor sería asegurarnos de que el nuevo número de teléfono sea completamente nuevo, y no reciclado (online puedes hacer el cambio del número de móvil, pero normalmente no te garantizan que el nuevo asignado sea nuevo, y no heredado de alguien anterior).
Es bastante lío cambiarlo si tiene mucha vinculación (contactos, empresas, etc.), e incluso en algunos casos no es posible hacerlo de manera sencilla. Entretenido, vamos.
Otra opción adicional es ponderar cambiar el correo electrónico, que es más o menos igual de pesado que el caos de la Sim.
|
|
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
December 28, 2020, 09:38:13 AM |
|
Ahora están aprovechando la lista de teléfonos que circula a fin de hacer smishing de productos cruzados. Concretamente, el SMS que ahora circula indica lo siguiente: "You have received 0.08155120 BTC, please login and confirm: HTTPS[colon]//BLOCKCHAlN [dot]IO
No sólo no es el dominio (IO) el oficial, sino que además la "I" fijaros que es realmente una "L" minúscula, y es un pelín más alta -> "Il" (la primera es una I mayúscula, la segunda una "L" minúscula. Atentos pues … |
|
|
|
|
Csmiami
Copper Member
Legendary
Offline
Activity: 1596
Merit: 1319
I'm sometimes known as "miniadmin"
|
|
December 28, 2020, 10:46:10 AM |
|
----
Te ha llegado desde un numero nacional? Me llego ayer por la tarde y aparte de reirme no hice mucho, pero al ser un +34 creo que hay donde rascar por intento de estafa |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
December 28, 2020, 11:38:26 AM |
|
Pues francamente, soy incapaz de verlo. Figura "Blockchain" en mayúsculas como remitente, y no logro dar con la opción que visualice el número del emisor subyacente. He visto un usuario del foro alemán que lo ha recibido procedente de un teléfono con prefijo de inglaterra. Me imagino que pueden "spoofear" el origen.
Hay otro uso curioso que están haciendo de estas listas, en este caso de la lista de correos electrónicos, que es hacer publicidad de una moneda alternativa, que no viene a cuento, pero bueno, ya puestos a tener al alcance de la mano 1M de emails de interesados/dueños de criptomonedas, que mejor que hacer publicidad sobre esta lista …
|
|
|
|
|
Csmiami
Copper Member
Legendary
Offline
Activity: 1596
Merit: 1319
I'm sometimes known as "miniadmin"
|
|
December 29, 2020, 12:29:58 PM |
|
Además de los típicos intentos baratos de SMS e email de robarme datos, he recibido el siguiente mensaje que ha ido también directo al spam: Hola Amigo/a,
Toda tu información personal esta circulando online después de que la empresa
Ledger Nano sufriese un hack y filtración de toda su base de datos.
Seguramente habrás recibido muchos emails de ciber-criminales pidiendote que
introduzcas tu “seed phrase” en páginas phishing (porfavor, NUNCA hagas esto)
Igual piensas que estas son las únicas consecuencias de este atentado contra tu
privacidad, pero existen más implicaciones que debes de conocer hoy mismo para
protegerte ante ellas.
Hablo sobre las consecuencias que tiene esta filtración de tus datos personales
aquí:
https://enlacechungo
Saludos,
Luigi Domenico Ha llegado un punto en el que te tienes que reir por no poder hacer más...
En otras tintas, las benditas navidades no me han permitido coger una cita para presentar EN PAPEL todos los documentos que tengo que mandar a la AEPD, asique la cosa va para largo con eso. A ver si saco por lo menos tiempo antes de enero para pasar por comisaria, que por lo menos vaya empezando la cosa a moverse |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
December 29, 2020, 12:55:36 PM |
|
<…>
Ahora creo que cada día o dos a lo sumo, hay una nueva variante, y no específicamente con una temática Ledger de trasfondo. Como he dicho en algún momento, no hay una BD de cripto mejor que éste par de Ledger, que va a ser utilizada para phishing, smishing, sim swapping y márketing de cualquier producto, con o sin el pretexto de Ledger de por medio. Tengo un correo reciente en la bandeja de Spam que cita que puedes reclamar tu Bitcoin SV, con una serie de enlaces que ya sabemos de qué van. Ahora, todo kiski va a provechar una u otra lista para sus fines, con todo tipo de pretextos, comunicándose tanto con los correos electrónicos como los teléfonos por medio de SMS (y esperemos que se quede allí). |
|
|
|
|
Csmiami
Copper Member
Legendary
Offline
Activity: 1596
Merit: 1319
I'm sometimes known as "miniadmin"
|
|
December 29, 2020, 06:41:14 PM |
|
Pues al final he conseguido la tarde de hoy para tirar en comisaria por este tema, y no sorprendentemente, he salido con las manos casi vacias. Resumiendo un poco: -Solo puedo denunciar las cosas cuando ya han pasado, por lo que da igual que a la mitad de la lista les haya llegado un mensaje del estilo "se donde vives, pagame para que no te de una paliza", que hasta que no lo reciba yo, no hay nada que hacer (lo mismo con swim swapping y demases). -En la AEPD SI que se pueden hacer cosas, e invito al resto de afectados a presentar su correspondiente escrito explicando lo que ha pasado y como os está afectando personalmente. El problema del COVID+Navidades es que hasta el 7 de enero no me daban cita para aportar todos los datos en papel , pero que ahí si que hay por donde rascar. Y eso es todo por ahora; en palabras de la persona escuchando mis quejas, los de Ledger "han preparado una monumental", y "es casi imposible que no les caiga un paquete* (y de eso se va a encargar la AEPD)" *Cuando hablo de que la compañia tenga que pagar, no me refiero a pagarnos a nosotros los afectados (que no estaria nada mal, pero bueno) sino que a multas y diversas sanciones por las ineptitudes que han demostrado tener a la hora de operar con información tan sensible |
|
|
|
Silberman
Legendary
Offline
Activity: 2506
Merit: 1332
|
|
December 29, 2020, 09:54:43 PM |
|
He estado siguiendo esta situación por algún tiempo y una pregunta que se me vino a la mente es que esta pasando con el competidor de Ledger? Y revisando su blog me encontré con esta noticia. https://blog.trezor.io/phishing-attacks-are-targeting-trezor-users-4edac4cb96faAl parecer ni siquiera los usuarios de Trezor están a salvo porque los hackers han inferido que si tienes una cartera como Ledger es probable que también tengas una Trezor, lo que no acabo de entender es que al parecer Trezor tiene una política de anonimizar la información de sus clientes en 90 días o incluso borrarla si así se solicita antes de ese plazo, alguien sabe cuál era la política de privacidad de Ledger? Porque dudo mucho que toda esta información que se ha filtrado sea información de los últimos meses, esta es información que probablemente han recolectado durante años. |
|
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
December 30, 2020, 09:11:11 AM |
|
<…>
En lo relativo a la política de Trezor, habría que saber bien cómo lo cocinan. Comprendo lo de anonimizar los datos tras 90 días como se haría, pero no quiere decir que la anomización sea irreversible. Me explico: La compra devenga en una factura, y éstas tienen un plazo legal de conservación. Mínimo deben poder casar los datos durante el periodo de garantía del producto (1 o 2 años según el país). En España se han de conservar 4 años. Pongamos que sea 1 año por ir al caso menor. Si uno reclama algo respecto de su dispositivo, Ledger ha de poder contrastar los datos de factura, luego los datos, de alguna manera, están allí, sea: - Porque lo mueven de la BD de e-commerce (que es la que dicen anonimizar) a la BD de facturas. - O por tener ya de por sí las dos BD, y la borran de una, pero están en la otra. - O por anonimizar mediante encriptación, lo cual es reversible con la clave de desencriptación. - Posiblemente accesibles para alguna API. No descarto que realmente anonimicen los datos de manera irreversible, pero no me lo creo simplemente por el archivo de facturas que deben tener de manera legal, con los datos del cliente. Luego no nos pensemos que sólo debe preocupar lo que está online. Todas las copias de seguridad son susceptibles de ser potencialmente robadas/hackeadas. Ahí dependerá de su política de copias y rescate, y cómo de bien están protegidas. La política de privacidad de Ledger es la siguiente: https://shop.ledger.com/pages/privacy-policyEfectivamente, la información filtrada es un cúmulo de, cuanto menos, dos años y medio de datos (te diré …). En teoría se originó a partir de una API con demasiados permisos para un tercero (si no recuerdo mal). |
|
|
|
|
Csmiami
Copper Member
Legendary
Offline
Activity: 1596
Merit: 1319
I'm sometimes known as "miniadmin"
|
|
January 07, 2021, 12:37:32 PM |
|
Pues como ya he avanzado en otro hilo, tenia cita para entregar la documentación hoy a la mañana. Estoy sumamente aterrado por la gestión de papeleo en la administración pública; me he quedado sin palabras. Lo primero, ya había comentado que solo tenía 3 opciones de enviarlo: web con certificado digital (no tengo), correo postal, o en un ente gubernamental para que se lo "hicieran llegar". El "hacernoslo llegar" suponía que sería por correo postal, pero no podía estar más equivocado. Literalmente he entregado los papeles, les han quitado las grapas, los han escaneado, y los han enviado escaneados (me han devuelto los de papel por lo menos). Además, leyendo el justificante, el motivo de mi denuncia segun la persona de ventanilla es "denuncia notificaciones de los denominados SMS phishing"; ninguna mención a un robo masivo de datos personales... Supongo que me tocará llamarles, y explicar que la persona de ventanilla no era precisamente "user-friendly" y que puso lo que le dio la gana |
|
|
|
Porfirii
Legendary
Offline
Activity: 1778
Merit: 2053
The Alliance Of Bitcointalk Translators - ENG>SPA
|
|
January 07, 2021, 01:21:02 PM |
|
Y eso es todo por ahora; en palabras de la persona escuchando mis quejas, los de Ledger "han preparado una monumental", y "es casi imposible que no les caiga un paquete* (y de eso se va a encargar la AEPD)"
*Cuando hablo de que la compañia tenga que pagar, no me refiero a pagarnos a nosotros los afectados (que no estaria nada mal, pero bueno) sino que a multas y diversas sanciones por las ineptitudes que han demostrado tener a la hora de operar con información tan sensible
Al final, poco positivo creo que puede salir de aquí... todo sea que lo de las multas no sea un mero "farol" y que Ledger, ahogada por las críticas y también económicamente, acabe dejando de darnos soporte algún día. Tenía pensado crear un hilo ad hoc, porque en este seguramente se pierda, pero bueno por no duplicar lo escribo aquí: fruto de la curiosidad, y gracias a un tercero bastante mas hábil que yo con los ordenadores, he podido comprobar que no estoy en la infame base de datos que se ha filtrado (sí está mi mail en la otra base de datos, de newsletter, pero me parece peccata minuta comparado con la filtración de direcciones, o números de teléfono). Si alguien está preocupado y quiere salir de dudas sobre cuáles de sus datos se han podido filtrar, que me escriba por privado. |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
January 07, 2021, 02:16:14 PM |
|
Estos días ha bajado mucho la intensidad de los intentos de phishing/smishing sobre la BD de Ledger. Hay más entradas en la bandeja de Spam que antes, pero con todo tipo de pretextos distantes del ámbito cripto. Ya regresarán supongo … En lo relativo a la BD filtrada, algunos fueron algo hábiles, y dejaron como teléfono de contacto el del diablo (66666xx). Por curiosidad, he mirado la BD de emails para ver qué dominios son los más populares: Del 1.075.382 emails, el top 10 es: gmail.com 575419
hotmail.com 82308
yahoo.com 60114
outlook.com 13948
protonmail.com 11719
icloud.com 10414
aol.com 9427
gmx.de 9115
web.de 8274
mail.ru 8099
Los más privados que usan protonmail representa el 10,89%, mientras que el más popular, gmail, representa el 53,5% … |
|
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
January 13, 2021, 03:38:35 PM
Last edit: January 13, 2021, 04:05:58 PM by DdmrDdmr |
|
Estos de Ledger parecen tener dificultades en saber gestionar los comunicados. Primero, diría que en Julio 2020, informar de un hackeo, minimizando el volumen de clientes impactados con datos personales (9.500) + 1M emails. Luego, en diciembre, informan que la cifra es de 272.00 (tras ver la BD en Raidforum). Ahora, envían un nuevo comunicado relativo al breach de Shopify, que es su proveedor de e-comerce (al comprar en la página de Ledger, entiendo que va a través de Shopify). Por las fechas que indican en comunicado abajo citado, estamos hablando de los mismo (dicen que hasta el 21/12/2020 no supieron que Ledger era de los productos sobre los cuales se extrajo información desde Shopify – la fecha es la misma que la oficialización del hackeo tras Raidforum). O me he perdido algo, o el comunicado abajo citado no referencia el recibido el 21/12/2020 por parte de las personas perjudicadas. Si hablan de lo mismo, deberían explicitarlo, e indicar que este comunicado es un intento de descarga de responsabilidad sobre Shopify. Si son dos cosas distintas, ¿son conjuntos distintos con posibles coincidencias? ¿Es un hackeo o dos? Hablan de que Shopify se lo comunicó el día 23/12/2020, lo cual no me cuadra con el segundo comunicado, que fue anterior (del 21/12/2020). O estoy espeso, o tienen problemas de comunicación … Dear client,
On December 23, 2020, Shopify, our e-commerce service provider, informed Ledger of an incident involving merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020. This is related to the incident reported by Shopify in September 2020, which concerns more than 200 merchants, but until December 21, 2020, Shopify had not identified this affected Ledger as well.
We were able to examine the stolen data together with a third party forensic firm to identify the impacted customers.
We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed.
We notified the French Data Protection Authority on December 26, 2020. We are continuing to work with Shopify and law enforcement on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s).
Thefts and attacks such as this cannot go uninvestigated or unprosecuted. We continue to work with law enforcement as well as private investigators on these cases, and we are adding more firepower by hiring additional private investigation capacity, adding experience and approaches to finding those responsible for these data thefts.
FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance.
If you would like more detail on the many steps we are taking to prevent such incidents in the future, please read this blog post.
Sincerely,
Pascal Gauthier
Ledger CEO
En su momento, dijeron que lo de Shopify no les afectaba (ver https://www.ledger.com/our-ecommerce-database-has-not-been-hacked). Tururú … |
|
|
|
|
Csmiami
Copper Member
Legendary
Offline
Activity: 1596
Merit: 1319
I'm sometimes known as "miniadmin"
|
|
January 13, 2021, 04:38:00 PM |
|
este comunicado es un intento de descarga de responsabilidad sobre Shopify
Resumiendo.... Por lo que entiendo de todo este meollo con un poco de imaginación, es que lo que negaron de Shopify en un principio fue que la BD fuera real, al ser en principio de 2016, fecha en la cual no utilizaban esa aplicación The hacker claims he hacked Ledger clients’ database through a Shopify exploit in 2016. While Ledger currently uses Shopify as a third party provider for its ecommerce operation, this was not the case back in 2016. Parece ser que es un solo ataque, aunque no me termina de quedar clara la cosa. En principio, los datos de Ledger se obtuvieron mediante una API externa, pero en la información de shopify; son varios miembros del equipo de soporte los que procedieron al filtrado. Lo cual nos lleva a otra cuestión: Si el API externa era oficial, como lo pudieron detectar unos consultores externos? No estoy muy aplicado en estos temas, pero si el ataque vino de dentro, no veo como se podría detectar Es en principio también el mismo conjunto de datos; aunque con 20.000 más que los que se publicaron en diciembre (que ahora parece hasta un numero pequeño y todo). A ver que nos cuenta la AEPD cuando se pongan con ello.... |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
January 13, 2021, 04:51:11 PM
Last edit: January 13, 2021, 05:16:47 PM by DdmrDdmr |
|
Parecen ser dos filtraciones (manda cojones, con perdón), pero con un 93% de coincidencia (yupi ..): Along with forensic firm Orange Cyberdefense we were able to establish that it affects approximately 292,000 customers. While the database is 93% similar to those exposed in the previous attack there were approximately 20,000 new customer records including, email, name, postal address, product(s) ordered and phone number included in this breach.
https://www.ledger.com/blog/update-efforts-to-protect-your-data-and-prosecute-the-scammersSi alguien quiere ver el cronograma del fiasco: <…>
Pues sí … Ya no voy ni intentar decodificar la lógica de la API de Ledger, fuente de su filtrado, cuando los datos comerciales estaban en la plataforma de e-commerce (Shopify) – salvo que fuese la API de comunicación entre ambas plataformas. |
|
|
|
|
Csmiami
Copper Member
Legendary
Offline
Activity: 1596
Merit: 1319
I'm sometimes known as "miniadmin"
|
|
January 13, 2021, 04:55:51 PM |
|
Parecen ser dos filtraciones (manda cojones, con perdón), pero con un 93% de coincidencia (yupi ..):
De verdad? Eso hace que sea bastante peor.... No solo les roban los datos en Abril; sino que además no los protegen y LOS VUELVEN A ROBAR poco mas de medio año despues? Te tienes que reir... |
|
|
|
DdmrDdmr (OP)
Legendary
Offline
Activity: 2310
Merit: 10758
There are lies, damned lies and statistics. MTwain
|
|
January 14, 2021, 08:03:53 AM |
|
<…>
He estado mirando el tema un poco más, y por lo que he visto, diría que cuando compras en la página de Ledger, tus datos primero van a parar a la BD de Shopify, desde la cual presumiblemente se los remiten a Ledger para que los incorpore a su BD de clientes. Uno diría que Shopify actúa por tanto a modo de pasarela de datos, y que no tendría porqué retener los datos de los compradores de Ledger, dado que el usuario no puede interactuar más con estos datos (no hay ficha de cliente para ver ni editar). No obstante, la plataforma de Shopify si permite la gestión de Clientes, derivar perfiles de los mismos, etc. Es decir, como plataforma, debe ser inherente almacenar los datos de los clientes, si bien algunas corporaciones que usen Shopify explotarán esta funcionalidad, y otros no (como es el caso de Ledger). Por tanto, aunque conceptualmente la plataforma de Shopify parece que podría dejar de tener los datos de los clientes de Ledger una vez finalizada la compra (y traspasados a Ledger), su estructura técnica probablemente lo almacena de manera inherente. Como tal, las clausulas relativas al tratamiento de datos cubren esta posibilidad en su verborrea genérica, pero siendo realistas, ningún cliente es conocedor real de este hecho, ni se lo espera. |
|
|
|
|
sitwac
Member
Offline
Activity: 200
Merit: 73
Work is turning your idea into things.
|
|
January 14, 2021, 08:24:58 AM |
|
Ledger prepara un nuevo sistema de seguridad para datos la compañía continúa señalando que cambiará la forma en la que la compañía recopilará y manejará los datos de los clientes. Por ejemplo, Ledger mantendrá los datos personales de usuarios y clientes durante el menor tiempo posible legalmente. Además también minimizará al máximo la visualización de los datos personales en correos electrónicos y moverá los datos necesarios hacia un entorno más segregado lo antes posible. Sumado a esto creará un canal seguro de comunicación y mensajería efectiva por medio de Ledger Live, que los usuarios podrán utilizar de forma confiable. Según informó el nuevo jefe de seguridad de Ledger, Matt Johnson, que se unió a la compañía a mediados de diciembre, la empresa ya está preparada para lanzar nuevas medidas de seguridad que permitirán reforzar la protección de los datos de sus usuarios y clientes, y evitar futuros ataques y filtraciones como el que ocurrió entre los meses de junio y julio de 2020. Esta filtración de datos, que se realizó a las bases de datos de marketing y comercio electrónico de Ledger, dejó expuesta información personal y privada de más de 1 millón de usuarios de la compañía, que se han visto fuertemente afectados por ataques de phishing, donde los ciberdelincuentes buscan engañarlos para despojarlos de sus criptomonedas. https://news.bit2me.com/ledger-prepara-nuevo-sistema-de-seguridad-para-datos |
|
|
|
|
