Фанаты Ledger, осторожно!

[satscraper]

Фанаты Ledger, будьте осторожны! Фейковое приложение  Ledger Live проникло в магазин Microsoft

На мой взгляд, лучшее решение для всех, кто все еще доверяет Ledger, — это вообще избегать этой платформы и найти более надежный кошелек для хранения своих денег.

Я бы рекомендовал кошелек с мультиподписью и хотя бы с одним подписантом на базе хорошего аппаратника (P.S. у меня Passport 2).

[1715358265]

1715358265

[1715358265]

1715358265

[safar1980]

Ну почему я должен отказаться от леджера, если для него скамеры сделали приложение?
Оно просит сид фразу или подменивает адреса отправки?
Если скачивать по старому с официального сайта и не обновлять прошивку этого кошелька до возможности стороннего хранения сид фраз, то его можно юзать.

[Altryist]

Ну почему я должен отказаться от леджера, если для него скамеры сделали приложение?
Оно просит сид фразу или подменивает адреса отправки?
Если скачивать по старому с официального сайта и не обновлять прошивку этого кошелька до возможности стороннего хранения сид фраз, то его можно юзать.

Увидел сегодня статью об этом, подробнее почитать можно здесь, но саму суть как это происходит я не понял.

Поиск Cointelegraph обнаружил, что поддельное приложение «Ledger Live Web3» появилось в магазине приложений Microsoft еще 19 октября. И это не первый раз, когда поддельное приложение Ledger Live попадает в магазин приложений Microsoft. Учетная запись поддержки Ledger в Twitter информировала своих пользователей о поддельном приложении Ledger Live дважды в декабре и марте.

Если после использования этого приложения у пользователей пропадают монеты, значит скачать его означает подвергнуть свои средства большому риску.

[witcher_sense]

Увидел сегодня статью об этом, подробнее почитать можно здесь, но саму суть как это происходит я не понял.

Это происходит очень просто: фейковый Ledger Live по любым предлогом просит пользователя ввести 12-24 слов от его кошелька и затем отправляет эту информацию мошеннику. Таким способом мошенник может перевести монеты и токены с любого блокчейна, поддерживаемого Ledger Live, но в основном таргетились Bitcoin и Ethereum как самые популярные. В Twitter пишут, что уже украдено более 768000$, но приложение уже удалили из Microsoft Store. Кстати, Microsoft сейчас сделала скачивание приложений не из магазина крайне трудным, то есть заставляет все делать через этот рассадник левых приложений. А что касается Ledger,  то я перестал им доверять после слива персональных данных своих клиентов, а еще больше когда они представили свою фичу с платным хранением сид-фразы у сторонних компаний. Большинству пользователей Ledger, похоже, совсем нет дела до безопасности своих средств и своей личной, потому что компания с таким менталитетом может запросто в один момент слить всех своих пользователей с потрохами какой-нибудь IRS или другой структуре и даже не поморщиться.

[satscraper]

Ну почему я должен отказаться от леджера, если для него скамеры сделали приложение?
Оно просит сид фразу или подменивает адреса отправки?
Если скачивать по старому с официального сайта и не обновлять прошивку этого кошелька до возможности стороннего хранения сид фраз, то его можно юзать.

В данном случае это фейковое браузерное расширение, которое просит пользователя ввести сид фразу.

Юзать то можно, только слишком много "сюрпризов", связанных с этой платформой, появляется в последнее время. Это заставляет задуматься.

 Увидел сегодня статью об этом, подробнее почитать можно здесь, но саму суть как это происходит я не понял.

Скамер поставил на карту лоха и поймал на ней пользователей, которые вводили в его фейковое расширение свою сид фразу

[Altryist]

Это происходит очень просто: фейковый Ledger Live по любым предлогом просит пользователя ввести 12-24 слов от его кошелька и затем отправляет эту информацию мошеннику. Таким способом мошенник может перевести монеты и токены с любого блокчейна, поддерживаемого Ledger Live, но в основном таргетились Bitcoin и Ethereum как самые популярные. В Twitter пишут, что уже украдено более 768000$, но приложение уже удалили из Microsoft Store. Кстати, Microsoft сейчас сделала скачивание приложений не из магазина крайне трудным, то есть заставляет все делать через этот рассадник левых приложений. А что касается Ledger,  то я перестал им доверять после слива персональных данных своих клиентов, а еще больше когда они представили свою фичу с платным хранением сид-фразы у сторонних компаний. Большинству пользователей Ledger, похоже, совсем нет дела до безопасности своих средств и своей личной, потому что компания с таким менталитетом может запросто в один момент слить всех своих пользователей с потрохами какой-нибудь IRS или другой структуре и даже не поморщиться.

Форклог тоже несколько часов назад написал о той же сумме. Да с сид фразой нужно быть очень аккуратным, но тут мошенники постарались конечно, все организованно весьма не плохо, для обыденного пользователя заподозрить что то не так просто, скачиваешь с Microsoft, что тут может быть не так. Но все равно перед тем как куда либо ввести фид-фразу нужно сто раз подумать. Леджер конечно сейчас вызывает не мало сомнений, у меня кстати тоже леджер я их давний пользователь, и утечка данных итем более платное хранение сид-фразы очень настораживает. И еще тот момент когда они в твитере сначала написали о том, что у них всегда был доступ к сидам пользователей и сразу же его удалили тоже такой себе момент.

[safar1980]

Ну почему я должен отказаться от леджера, если для него скамеры сделали приложение?
Оно просит сид фразу или подменивает адреса отправки?
Если скачивать по старому с официального сайта и не обновлять прошивку этого кошелька до возможности стороннего хранения сид фраз, то его можно юзать.

В данном случае это фейковое браузерное расширение, которое просит пользователя ввести сид фразу.

Юзать то можно, только слишком много "сюрпризов", связанной с этой платформой, появляется в последнее время. Это заставляет задуматься.

 Увидел сегодня статью об этом, подробнее почитать можно здесь, но саму суть как это происходит я не понял.

Скамер поставил на карту лоха и поймал на ней пользователей, которые вводили в его фейковое расширение свою сид фразу

дык это же так наивно и  придумано для необразованных новичков, которые никогда не пользовались приложением леджера и не знают, что приложение не спрашивает секретную фразу. но и тут должно помочь 25 слово, если такая опция была включена.
короч ниче такого опасного нет.

[Lannakosa]

дык это же так наивно и  придумано для необразованных новичков, которые никогда не пользовались приложением леджера и не знают, что приложение не спрашивает секретную фразу. но и тут должно помочь 25 слово, если такая опция была включена.
короч ниче такого опасного нет.

Снова какие то приключения с Леджером, лучше бы я трезор выбрала. 
Вводить сид-фразу в леджер-лайв это сильно конечно, но кто то это может воспринял как дополнительный уровень безопасности.  А 25 слово тоже не все понимают, те кто вводили свою фразу, те явно не очень обознаны о безопасности.

Жалко конечно людей, и даже не на бирже хранили монеты, а на аппаратнике, и все равно попались.

[klarki]

Снова какие то приключения с Леджером, лучше бы я трезор выбрала.  

Ну да, под Trezor ведь нельзя замутить эту примитивную схему?  Если пользователь не в ладах с остовыми безопасности, то его ничего не спасет. Для таких пользователей вероятно и пилятся все эти централизованные сервисы, где ответственно за хранение лежит на владельцах этих сервисов.

[satscraper]

Снова какие то приключения с Леджером, лучше бы я трезор выбрала.  

Ну да, под Trezor ведь нельзя замутить эту примитивную схему?   Если пользователь не в ладах с остовыми безопасности, то его ничего не спасет. Для таких пользователей вероятно и пилятся все эти централизованные сервисы, где ответственно за хранение лежит на владельцах этих сервисов.

Что да то да, пользователь, который не оглядываясь вводит свою сид фразу от аппаратника в  браузерное расширение, рано или поздно но попадётся, не не этом трюке так на другом.

Я уже неоднократно повторял разными словами , что самая большая угроза для заначки  исходит не от того, какой кошелёк отвечает за её хранения, а от собственника этой заначки.

[witcher_sense]

Снова какие то приключения с Леджером, лучше бы я трезор выбрала. 
Вводить сид-фразу в леджер-лайв это сильно конечно, но кто то это может воспринял как дополнительный уровень безопасности.  А 25 слово тоже не все понимают, те кто вводили свою фразу, те явно не очень обознаны о безопасности.

Жалко конечно людей, и даже не на бирже хранили монеты, а на аппаратнике, и все равно попались.

На Трезор тоже проводились подобные атаки, но до недавнего времени все они были связаны с фишинговыми сайтами, а не с приложениями. С выходом официального приложения у Трезора Trezor Suite App, ситуация начинает выравниваться с Ledger: https://cointelegraph.com/news/fake-trezor-crypto-app-removed и еще было пару мелких случаев, не дошедших до большой прессы. Но с Ledger связаны особо крупные фейлы и поэтому многие конкуренты используют это имя в качестве нарицательного, вот пример на картинке:


source: https://000.mycelium.com/

Но большинство этих атак были бы безуспешными, если бы каждый приложил немного усилий и поизучал принцип работы аппаратного кошелька и в частности, почему не стоит вводить сид-фразы в приложения и на веб-сайтах.

[safar1980]

дык это же так наивно и  придумано для необразованных новичков, которые никогда не пользовались приложением леджера и не знают, что приложение не спрашивает секретную фразу. но и тут должно помочь 25 слово, если такая опция была включена.
короч ниче такого опасного нет.

Снова какие то приключения с Леджером, лучше бы я трезор выбрала. 
Вводить сид-фразу в леджер-лайв это сильно конечно, но кто то это может воспринял как дополнительный уровень безопасности.  А 25 слово тоже не все понимают, те кто вводили свою фразу, те явно не очень обознаны о безопасности.

Жалко конечно людей, и даже не на бирже хранили монеты, а на аппаратнике, и все равно попались.

Уровень безопасности крипто валютного кошелька как раз и не требует ввода сид-фразы и под любой кошелек такой софт постоянно будет появляться на фишинговых сайтах и в магазинах.
более опасной была проблема, когда списки покупателей кошельков леджера с адресами доставки попали в интернет.

[BVeyron]

более опасной была проблема, когда списки покупателей кошельков леджера с адресами доставки попали в интернет.

Кстати да, я даже помню, что где то читал, что какие-то слегка продвинутые бандосы в каких то странах типа Колумбии,  получив адресную базу доставки, которая вообще свободно болталась даже не в даркнете, а вообще в сети, так, что школьник младших классов  мог ее скачать.
Так вот там вроде даже начались случаи шантажа и вымогательства бабла у таких покупателей этого самого Леджера.
Леджер конечно извинялся там и всякое, но таким пострадавшим от их извинений ни холодно ни жарко. Крепко подставили криптанов тогда эти деятели. Если правильно помню, то база была довольно большой то ли 700 000 покупателей, то ли вообще все полтора миллиона.

[safar1980]

более опасной была проблема, когда списки покупателей кошельков леджера с адресами доставки попали в интернет.

Кстати да, я даже помню, что где то читал, что какие-то слегка продвинутые бандосы в каких то странах типа Колумбии,  получив адресную базу доставки, которая вообще свободно болталась даже не в даркнете, а вообще в сети, так, что школьник младших классов  мог ее скачать.
Так вот там вроде даже начались случаи шантажа и вымогательства бабла у таких покупателей этого самого Леджера.
Леджер конечно извинялся там и всякое, но таким пострадавшим от их извинений ни холодно ни жарко. Крепко подставили криптанов тогда эти деятели. Если правильно помню, то база была довольно большой то ли 700 000 покупателей, то ли вообще все полтора миллиона.

этот слив был в июне 2020 года и у меня файлы еще сохранилось.
База включает в себя адреса электронной почты, фамилию имя отчество и телефоны с адресами. адресов почты в ней больше миллиона а полных данных с Фио и адресами не более 300 тысяч.
И в опасных странах для покупателей это стало серьезным испытанием.

[satscraper]

более опасной была проблема, когда списки покупателей кошельков леджера с адресами доставки попали в интернет.

Кстати да, я даже помню, что где то читал, что какие-то слегка продвинутые бандосы в каких то странах типа Колумбии,  получив адресную базу доставки, которая вообще свободно болталась даже не в даркнете, а вообще в сети, так, что школьник младших классов  мог ее скачать.
Так вот там вроде даже начались случаи шантажа и вымогательства бабла у таких покупателей этого самого Леджера.
Леджер конечно извинялся там и всякое, но таким пострадавшим от их извинений ни холодно ни жарко. Крепко подставили криптанов тогда эти деятели. Если правильно помню, то база была довольно большой то ли 700 000 покупателей, то ли вообще все полтора миллиона.

этот слив был в июне 2020 года и у меня файлы еще сохранилось.
База включает в себя адреса электронной почты, фамилию имя отчество и телефоны с адресами. адресов почты в ней больше миллиона а полных данных с Фио и адресами не более 300 тысяч.
И в опасных странах для покупателей это стало серьезным испытанием.

2020 год, адреса, ФИО, 300 тысяч - это мелочь  по нынешним меркам. Забудьте.

Несколько последних фактов вам для сравнения:

1) Слиты генетические  данные 23 миллионов человек из Германии и Великобритании.

2) Украдена база данных миллионов пользователей D-Link. (Думаю не ради самого искусства)

3) Хакеры поживились личными данными  трёх десятков миллионов клиентов альфа-банка.

На этом становлюсь ибо если продолжу, то этот список займёт не один десяток страниц.  

Леджер, со своим проколом из 2020-х, на этом фоне  выглядит как невинный младенец.

[BVeyron]

более опасной была проблема, когда списки покупателей кошельков леджера с адресами доставки попали в интернет.

Кстати да, я даже помню, что где то читал, что какие-то слегка продвинутые бандосы в каких то странах типа Колумбии,  получив адресную базу доставки, которая вообще свободно болталась даже не в даркнете, а вообще в сети, так, что школьник младших классов  мог ее скачать.
Так вот там вроде даже начались случаи шантажа и вымогательства бабла у таких покупателей этого самого Леджера.
Леджер конечно извинялся там и всякое, но таким пострадавшим от их извинений ни холодно ни жарко. Крепко подставили криптанов тогда эти деятели. Если правильно помню, то база была довольно большой то ли 700 000 покупателей, то ли вообще все полтора миллиона.

этот слив был в июне 2020 года и у меня файлы еще сохранилось.
База включает в себя адреса электронной почты, фамилию имя отчество и телефоны с адресами. адресов почты в ней больше миллиона а полных данных с Фио и адресами не более 300 тысяч.
И в опасных странах для покупателей это стало серьезным испытанием.

2020 год, адреса, ФИО, 300 тысяч - это мелочь  по нынешним меркам. Забудьте.

Несколько последних фактов вам для сравнения:

1) Слиты генетические  данные 23 миллионов человек из Германии и Великобритании.

2) Украдена база данных миллионов пользователей D-Link. (Думаю не ради самого искусства)

3) Хакеры поживились личными данными десятков миллионов клиентов альфа-банка.

На этом становлюсь ибо если продолжу, то этот список займёт не один десяток страниц.  

Леджер, со своим проколом из 2020-х, на этом фоне  выглядит как невинный младенец.

Ну не такой, уж и невинный младенец, если к некоему криптану в Бразилии завалятся пацаны в балаклавах с волынами, то тут уж этот криптан стопятьсот раз пожалеет, что заказал себе когда-то Леджер. Не уверен, что такие случаи были в действительности в прошлом, но разговоры и судебные иски к Леджеру были в то время. Да и база эта у многих имеется в наличии. А если бычка сильно усилится, то и соблазн у бандосов повысится и риски неприятностей у криптанов тоже.

[safar1980]

более опасной была проблема, когда списки покупателей кошельков леджера с адресами доставки попали в интернет.

Кстати да, я даже помню, что где то читал, что какие-то слегка продвинутые бандосы в каких то странах типа Колумбии,  получив адресную базу доставки, которая вообще свободно болталась даже не в даркнете, а вообще в сети, так, что школьник младших классов  мог ее скачать.
Так вот там вроде даже начались случаи шантажа и вымогательства бабла у таких покупателей этого самого Леджера.
Леджер конечно извинялся там и всякое, но таким пострадавшим от их извинений ни холодно ни жарко. Крепко подставили криптанов тогда эти деятели. Если правильно помню, то база была довольно большой то ли 700 000 покупателей, то ли вообще все полтора миллиона.

этот слив был в июне 2020 года и у меня файлы еще сохранилось.
База включает в себя адреса электронной почты, фамилию имя отчество и телефоны с адресами. адресов почты в ней больше миллиона а полных данных с Фио и адресами не более 300 тысяч.
И в опасных странах для покупателей это стало серьезным испытанием.

2020 год, адреса, ФИО, 300 тысяч - это мелочь  по нынешним меркам. Забудьте.

Несколько последних фактов вам для сравнения:

1) Слиты генетические  данные 23 миллионов человек из Германии и Великобритании.

2) Украдена база данных миллионов пользователей D-Link. (Думаю не ради самого искусства)

3) Хакеры поживились личными данными  трёх десятков миллионов клиентов альфа-банка.

На этом становлюсь ибо если продолжу, то этот список займёт не один десяток страниц.  

Леджер, со своим проколом из 2020-х, на этом фоне  выглядит как невинный младенец.

Для бандитов не очень интересны пользователи D-Link или клиенты банка. Счета в банке счас даже у 14 летних детей могут быть по закону но там может быть 100 рублей и это физической опасности для этих людей не предоставит. А покупателей аппаратного кошелька леджер могут быть большие и не декларированные криптовалюты на большую сумму и в полицию далеко не все пойдут.

[satscraper]

[
Счета в банке счас даже у 14 летних детей могут быть по закону но там может быть 100 рублей и это физической опасности для этих людей не предоставит.

Да, 100 рублевые счета никого не заинтересуют, но думаю среди 30 миллионов украденных данных  есть и  счета смиллионными  балансами .

Вообще я своим постом хотел сказать, что сейчас взломанными базами данных никого не удивишь, ломают каждый день и продают на чёрном рынке, поэтому покупать кошельки нужно с умом, а не надеяться на защищённость базы любого производителя.

А покупатели разные, кого данные криптовалютчиков интересуют, а кого и  здоровье персоналий.

В одном можете не сомневаться -если (к примеру)  вы хотя бы раз обращались к врачу, все ваши данные уже давно слиты (хакнуты), проданы и перепроданы и их внимательно изучают. Если база данных производителя кошелька не хакнута сегодня, её хакнут завтра. Селяви.

[BVeyron]

В одном можете не сомневаться -если (к примеру)  вы хотя бы раз обращались к врачу, все ваши данные уже давно слиты (хакнуты), проданы и перепроданы и их внимательно изучают. Если база данных производителя кошелька не хакнута сегодня, её хакнут завтра. Селяви.

А в среде криптанов теперь ведь повсеместно стали требовать кусь.
 И вот тут то и кроется серьезная опасность типа, имел ты крипту, никто и не знал об этом, а теперь доки и фотку морды отправил на биржу или, например, в криптоказино, а базы персональных данных сперли. Поскольку натупило это самое Селяви   
И усе!
Ты теперь не анонимный владелец крипты, теперь все знают, что у тебя эти самые биткоины водятся. Ну, а налоговики тут как тут. А давай-ка отчитайся и заплати налоги.
Ну классно же придумали с этим самым кусем.

[witcher_sense]

А в среде криптанов теперь ведь повсеместно стали требовать кусь.
 И вот тут то и кроется серьезная опасность типа, имел ты крипту, никто и не знал об этом, а теперь доки и фотку морды отправил на биржу или, например, в криптоказино, а базы персональных данных сперли. Поскольку натупило это самое Селяви  
И усе!
Ты теперь не анонимный владелец крипты, теперь все знают, что у тебя эти самые биткоины водятся. Ну, а налоговики тут как тут. А давай-ка отчитайся и заплати налоги.
Ну классно же придумали с этим самым кусем.

Не обязательно делиться персональными данными напрямую, достаточно делать транзакции без соблюдения многочисленных рекомендаций по соблюдению анонимности финансовых транзакций. Одна транзакция с обменника, где засвечен номер карты, плюс одна транзакция CoinJoin или с миксера: если они появляются вместе, то теоретически могут привести злоумышленика прямо к вашему порогу. Теоретически, потому что злоумышленнику нужна уверенность, что средства достаточно крупные и что они все еще находятся у вас. Вот как раз слив данных по аппаратным кошелькам дает информацию, что пользователь имеет криптовалюту и что ее общая стоимость больше стоимости аппаратного кошелька. Не факт, конечно, что злоумышленник добьется успеха, но чисто статистически это возможно. Обсуждение на форуме владения той или иной модели или покупки определенной суммы в BTC тоже являются своего рода сливами.

[BVeyron]

А в среде криптанов теперь ведь повсеместно стали требовать кусь.
 И вот тут то и кроется серьезная опасность типа, имел ты крипту, никто и не знал об этом, а теперь доки и фотку морды отправил на биржу или, например, в криптоказино, а базы персональных данных сперли. Поскольку натупило это самое Селяви  
И усе!
Ты теперь не анонимный владелец крипты, теперь все знают, что у тебя эти самые биткоины водятся. Ну, а налоговики тут как тут. А давай-ка отчитайся и заплати налоги.
Ну классно же придумали с этим самым кусем.

Не обязательно делиться персональными данными напрямую, достаточно делать транзакции без соблюдения многочисленных рекомендаций по соблюдению анонимности финансовых транзакций. Одна транзакция с обменника, где засвечен номер карты, плюс одна транзакция CoinJoin или с миксера: если они появляются вместе, то теоретически могут привести злоумышленика прямо к вашему порогу. Теоретически, потому что злоумышленнику нужна уверенность, что средства достаточно крупные и что они все еще находятся у вас. Вот как раз слив данных по аппаратным кошелькам дает информацию, что пользователь имеет криптовалюту и что ее общая стоимость больше стоимости аппаратного кошелька. Не факт, конечно, что злоумышленник добьется успеха, но чисто статистически это возможно. Обсуждение на форуме владения той или иной модели или покупки определенной суммы в BTC тоже являются своего рода сливами.

Да всяких таких сливов персональной инфы может быть множество. Вот тот, что допустил Леджер пожалуй относится к очень опасному из-за возможных последствий, что описаны парой постов выше.
Из реальной маскировки и сохранения анонимности пожалуй только в  столице можно менять крипту на налик, как всем известно курьером или на крайний случай самому в Сити, там много желающих поменять вам наличную  денежку  как туда, так и обратно. Потери все-таки скоре всего довольно приличные, но все равно анонимность того стоит. Это не просвеченные рентгеном банковские пластиковые продукты.

[Lannakosa]

Ну да, под Trezor ведь нельзя замутить эту примитивную схему?  Если пользователь не в ладах с остовыми безопасности, то его ничего не спасет. Для таких пользователей вероятно и пилятся все эти централизованные сервисы, где ответственно за хранение лежит на владельцах этих сервисов.

Конечно можно, только почему то в новостях с такими новостями светится в основном леджер, может быть потому, что у них пользовательская база больше, а значит больше шансов что кто то попадется, не удочку.

Но большинство этих атак были бы безуспешными, если бы каждый приложил немного усилий и поизучал принцип работы аппаратного кошелька и в частности, почему не стоит вводить сид-фразы в приложения и на веб-сайтах.

Согласна, это все рассчитано именно на тех, кто плохо разбирается в вопросах безопасности, но если уже взял ответственность на себя за хранение своих монет, то тут нужно хотя бы изучить азы о том, куда сид-фразу можно вписывать а куда нет.

[satscraper]

Ну да, под Trezor ведь нельзя замутить эту примитивную схему?   Если пользователь не в ладах с остовыми безопасности, то его ничего не спасет. Для таких пользователей вероятно и пилятся все эти централизованные сервисы, где ответственно за хранение лежит на владельцах этих сервисов.

Конечно можно, только почему то в новостях с такими новостями светится в основном леджер, может быть потому, что у них пользовательская база больше, а значит больше шансов что кто то попадется, не удочку.

Я бы не ставил вопрос таким образом.

Нужно понимать, что база данных любой компании, независимо от её имени, размера клиентской базы и сферы деятельности, может быть взломана в любой момент времени, потому что взлом это тоже бизнес, который приносит свои  дивиденды тем, кто занимается такой деятельностью.

Иногда взламывают целенонапрвленно, а иногда и хаотично  просто потому, что обнаружили лазейку, к которую можно проникнуть.

Кстати, леджеровская подделка обнаружена и в магазине Майкрософт.

[BVeyron]

Иногда взламывают целенонапрвленно, а иногда и хаотично  просто потому, что обнаружили лазейку, к которую можно проникнуть.]

Основных вариантов кражи баз персональных данных два: взлом с помощью хакерских программ и утечка данных от сотрудников с допуском к базе данных.
Если первый вариант это классика жанра и иногда срабатывает, то второй грубо говоря делится еще на два варианта - добровольное желание сотрудника заработать на краже и недобровольное принуждение за счет шантажа.

Поскольку все эти варианты вполне себе рабочие и получается, что эти самые базы с большой вероятностью будут у что называется "третьих лиц".
Что и наблюдается постояно и повсеместно.

Вот с той же утечкой у Леджера - кто-нибудь слышал, кого и насколько серьезно наказали за этот миллион украденных данных?
Я не слышал, ну может и нашли какого- то стрелочника да оштрафовали, но уж точно на шконке он не спит.   И не спал...   
Вариант легко отделались налицо.

[safar1980]

[
Счета в банке счас даже у 14 летних детей могут быть по закону но там может быть 100 рублей и это физической опасности для этих людей не предоставит.

Да, 100 рублевые счета никого не заинтересуют, но думаю среди 30 миллионов украденных данных  есть и  счета смиллионными  балансами .

Вообще я своим постом хотел сказать, что сейчас взломанными базами данных никого не удивишь, ломают каждый день и продают на чёрном рынке, поэтому покупать кошельки нужно с умом, а не надеяться на защищённость базы любого производителя.

А покупатели разные, кого данные криптовалютчиков интересуют, а кого и  здоровье персоналий.

В одном можете не сомневаться -если (к примеру)  вы хотя бы раз обращались к врачу, все ваши данные уже давно слиты (хакнуты), проданы и перепроданы и их внимательно изучают. Если база данных производителя кошелька не хакнута сегодня, её хакнут завтра. Селяви.

банки уже придумали способ побороть снятие денег при помощи замены телефона. от своего родственника узнал что он хранит деньги на отдельном счете, который виден в приложении от банка, но вот снять или перевести эти деньги получится только с паспортом в офисе банка. это у сбербанка давно применяется.
по медицине мне только скамеры звонят со стоматологий и костоправных контор.

[Lannakosa]

Вот хорошее видео появилось от sunscrypt:

https://www.youtube.com/watch?v=ACP9wfxHqUQ&ab_channel=sunscrypt

[klarki]

Эксплоит в Ledger Connect Kit [14 декабря]

Сегодня мы столкнулись с эксплойтом в Ledger Connect Kit, библиотеке Javascript, которая реализует кнопку, позволяющую пользователям подключать свое устройство Ledger к сторонним DApps (веб-сайтам, подключенным к кошельку).

https://github.com/LedgerHQ/connect-kit/blob/main/packages/connect-kit-loader/src/index.ts#L83C49-L83C68

Первым сообщил об инциденте @MatthewLilley.


По информации от Blockworks потери ~150к.$: https://blockworks.co/news/ledger-wallet-vulnerability-connectkit

[witcher_sense]

Эксплоит в Ledger Connect Kit [14 декабря]

Сегодня мы столкнулись с эксплойтом в Ledger Connect Kit, библиотеке Javascript, которая реализует кнопку, позволяющую пользователям подключать свое устройство Ledger к сторонним DApps (веб-сайтам, подключенным к кошельку).

https://github.com/LedgerHQ/connect-kit/blob/main/packages/connect-kit-loader/src/index.ts#L83C49-L83C68

Первым сообщил об инциденте @MatthewLilley.


По информации от Blockworks потери ~150к.$: https://blockworks.co/news/ledger-wallet-vulnerability-connectkit

Вроде Ledger столько инвестируют в безопасность и даже имеют целую команду исследователей-пентестеров, которые любят пиариться на взломах чужих аппаратных кошельков, но сами даже не могут правильно настроить обновление зависимостей. Как я понял из этого https://github.com/LedgerHQ/connect-kit/issues/29 софт Ledger всегда тянул версию Connect Kit, начинающуюся с 1, то есть они загружали всегда последнюю версию с любым обновлением. Если обновление было вредоносным (как в этом случае), то софт Ledger тоже становился вредоносным. Теперь они "поумнели" и стали использовать конкретную версию Connect Kit 1.1.8. Но кто скажет сколько еще таких дыр в их приложении, особенно если учесть, что часть из него с закрытым кодом?

[satscraper]

Эксплоит в Ledger Connect Kit [14 декабря]

Сегодня мы столкнулись с эксплойтом в Ledger Connect Kit, библиотеке Javascript, которая реализует кнопку, позволяющую пользователям подключать свое устройство Ledger к сторонним DApps (веб-сайтам, подключенным к кошельку).

https://github.com/LedgerHQ/connect-kit/blob/main/packages/connect-kit-loader/src/index.ts#L83C49-L83C68

Первым сообщил об инциденте @MatthewLilley.


По информации от Blockworks потери ~150к.$: https://blockworks.co/news/ledger-wallet-vulnerability-connectkit

Но кто скажет сколько еще таких дыр в их приложении, особенно если учесть, что часть из него с закрытым кодом?

Всё произошло не по причине дырявого кода, а  из-за того, что хакеры подменили оригинальный connect-kit .

https://bitcointalk.org/index.php?topic=2915055.msg63328619#msg63328619

Подменить можно как открытое, так и закрытое ПО.

https://bitcointalk.org/index.php?topic=2915055.msg63324890#msg63324890

[witcher_sense]

Всё произошло не по причине дырявого кода, а  из-за того, что хакеры подменили оригинальный connect-kit .

https://bitcointalk.org/index.php?topic=2915055.msg63328619#msg63328619

Подменить можно как открытое, так и закрытое ПО.

https://bitcointalk.org/index.php?topic=2915055.msg63324890#msg63324890

Нельзя просто так зайти на npm и подменить приложение той же версии на фальшивую копию. Все произошло примерно так, как я и сказал: мошенник завладел аккаунтом разработчиков Connect Kit и загрузил туда верстю 1.1.7 с эксплойтом. В коде Ledger качается любая последняя версия, если первое число (major version) является 1. Так как у версии 1.1.7 первая цифра 1, то ПО загрузило эту версию, что и привело к взлому. Сейчас доступ восстановили и баг убрали в версии 1.1.8 и в коде Ledger сменили версию с просто 1 на конкретную 1.1.8. Теперь хакер не сможет провернуть свой прием, потому что новую 1.1.8 он не сможет загрузить. Как-то так.

[satscraper]

Всё произошло не по причине дырявого кода, а  из-за того, что хакеры подменили оригинальный connect-kit .

https://bitcointalk.org/index.php?topic=2915055.msg63328619#msg63328619

Подменить можно как открытое, так и закрытое ПО.

https://bitcointalk.org/index.php?topic=2915055.msg63324890#msg63324890

Все произошло примерно так, как я и сказал: мошенник завладел аккаунтом разработчиков Connect Kit и загрузил туда верстю 1.1.7 с эксплойтом.

Нуесли быть точным,то это сказали представители компании, а не вы.

https://bitcointalk.org/index.php?topic=2915055.msg63328619#msg63328619

Вы же не разобравшись, сделали акцент на дыре  в закрытом коде.  

[ Сейчас доступ восстановили и баг убрали в версии 1.1.8 и в коде Ledger сменили версию с просто 1 на конкретную 1.1.8. Теперь хакер не сможет провернуть свой прием, потому что новую 1.1.8 он не сможет загрузить. Как-то так.

Не как то так.

Доступ к гитхаб от взломанного акка закрыли.

Приложения обновляются до 1.1.8  на лету:

[igor72]

Какой вывод из этой истории должны сделать пользователи? Как можно застраховать себя от потерь в подобных случаях? Если скачивать новую версию софта, но устанавливать ее только, скажем, через месяц, то в данном случае, как я понимаю, это не сработало бы?

[satscraper]

Какой вывод из этой истории должны сделать пользователи? Как можно застраховать себя от потерь в подобных случаях? Если скачивать новую версию софта, но устанавливать ее только, скажем, через месяц, то в данном случае, как я понимаю, это не сработало бы?

Сложно сказать.

Так как обновление dApps  шло автоматом через CDN, то заражёнными оказались все dApps использующие эту библиотеку для подключения кошельков.

Пользователь кошелька здесь бессилен как мне кажется.

[BVeyron]

Какой вывод из этой истории должны сделать пользователи? Как можно застраховать себя от потерь в подобных случаях? Если скачивать новую версию софта, но устанавливать ее только, скажем, через месяц, то в данном случае, как я понимаю, это не сработало бы?

Сложно сказать.

Так как обновление dApps  шло автоматом через CDN, то заражёнными оказались все dApps использующие эту библиотеку для подключения кошельков.

Пользователь кошелька здесь бессилен как мне кажется.

А как понять какие dApps конкретный пользователь Леджера использовал, ну вероятно конечно уже  после релиза этой самой 1.1.7  ?

Какие операции например в их приложении Леджер лайв могли быть задействованы в этой схеме мошенника реально.
И как теперь вообще удастся ли в будущем безопасно  юзать Леджер.

[satscraper]

Какой вывод из этой истории должны сделать пользователи? Как можно застраховать себя от потерь в подобных случаях? Если скачивать новую версию софта, но устанавливать ее только, скажем, через месяц, то в данном случае, как я понимаю, это не сработало бы?

Сложно сказать.

Так как обновление dApps  шло автоматом через CDN, то заражёнными оказались все dApps использующие эту библиотеку для подключения кошельков.

Пользователь кошелька здесь бессилен как мне кажется.

А как понять какие dApps конкретный пользователь Леджера использовал, ну вероятно конечно уже  после релиза этой самой 1.1.7  ?

Думаю пострадал не один пользователь.

Все dApps, использующие подменённый хакером WalletConnect,  представляли угрозу для пользователей. Среди этих dApp был и широко известный  кошелёк metamask.

Из  опубликованного по этому поводу следует что при попытке подключения аппаратного кошелька (не только Леджер, но и других) выскакивало фейковое окно подключения, которое перкрывало оригинальное окно подключения, предлагаемое данным dApp. Это окно ясно видно на нижеследующем изображении:

Пользователь, подключившийся через это фейковое окно, подключал свой кошелёк к скрипту,позволяющему сифонить токены. ( Здесь анализируется один из  таких скриптов)

Какие операции например в их приложении Леджер лайв могли быть задействованы в этой схеме мошенника реально.

Думаю все операции, связанные с движением токенов.

И как теперь вообще удастся ли в будущем безопасно  юзать Леджер.

При создании транзакции с помощью любого кошелька первоначально исходить из предположения, что она, эта транзакция, скамная.

Если есть скил в анализе смартконтракта, проанализировать его всеми доступными средствами.

Не использовать слепое подписывание контракта.

Хакеры изобретательны и их методы усовершенствуются с каждым днём.

Поэтому на мой взгляд хорошим подходом  для пользователя является следующий  вариант - не хранить всё и вся на одном кошельке.

В случае Леджер можно создать несколько кошельков, разделённых с помощью сид фраз, или пассвордов к одной фразе, или путей деривации.

Хранить основную часть заначки на одном или двух из таких кошельков.

Для работы со смарт контрактами использовать втростепенные  кошельки.

[safar1980]

Поэтому на мой взгляд хорошим подходом  для пользователя является следующий  вариант - не хранить всё и вся на одном кошельке.

В случае Леджер можно создать несколько кошельков, разделённых с помощью сид фраз, или пассвордов к одной фразе, или путей деривации.

Хранить основную часть заначки на одном или двух из таких кошельков.

Для работы со смарт контрактами использовать втростепенные  кошельки.

Я думаю у вас нет леджера   у леджера очень хорошая возможность создавать десятки кошельков на одной монете и без пасвордов, которые будут видны в лайв леджер.
я смотрел это, у каждого кошелька свой путь деривации. на кефире вы добавляйте 10 кошельков и держите их для разных бирж, но именно по дефолту к смарт-контрактам подключается только первый созданный кошелек. как остальные подключить, я не знаю. если продвинутый это придумает, то он же знает о безопасности.

[satscraper]

Поэтому на мой взгляд хорошим подходом  для пользователя является следующий  вариант - не хранить всё и вся на одном кошельке.

В случае Леджер можно создать несколько кошельков, разделённых с помощью сид фраз, или пассвордов к одной фразе, или путей деривации.

Хранить основную часть заначки на одном или двух из таких кошельков.

Для работы со смарт контрактами использовать втростепенные  кошельки.

Я думаю у вас нет леджера  у леджера очень хорошая возможность создавать десятки кошельков на одной монете и без пасвордов, которые будут видны в лайв леджер.
я смотрел это, у каждого кошелька свой путь деривации. на кефире вы добавляйте 10 кошельков и держите их для разных бирж, но именно по дефолту к смарт-контрактам подключается только первый созданный кошелек. как остальные подключить, я не знаю. если продвинутый это придумает, то он же знает о безопасности.

А я думаю, что вы или не понимaете    то , что я написал ( и это плохо)

В случае Леджер можно создать несколько кошельков, разделённых с помощью .....  путей деривации.

 или набиваете посты для своей подписной. ( в последнем случае прощается  )

Иными словами вы не добавили ничего нового к  моему посту, но при этом заработали 2-3 (или сколько вам там платят) бакса в своей подписной.

Каждый счёт в лайв леджер это и есть кошелёк с увеличенным на 1 последним индексом в пути деривации.

И речь ведь идёт не только о Леджер, правда.

Страдали все кошельки, использующие WalletConnect.

[ как остальные подключить, я не знаю. если продвинутый это придумает, то он же знает о безопасности.

Очень плохо, что вы это не знаете, думайте как, один из путей как подключить - элементарнеший.

Если додумаетесь, то дам 1 мерит, больше не могу, так как домашнее задание  не для Легенды.

[Inwestour]

Разработчик ПО, использующий псевдоним REKTBuilder, выяснил, что программное обеспечение аппаратного кошелька для хранения биткоинов Ledger Live отслеживает своих пользователей и собирает их данные. REKTBuilder исследовал код Python программного обеспечения устройства и предположил, что оно выполняет «проверку подлинности устройства» каждый раз, когда пользователь подключает кошелек Ledger к компьютеру или телефону. По словам REKTBuilder, эту проверку проходят все приложения, установленные на устройстве, поэтому Ledger может узнать, какие сети использует владелец кошелька.

«В Ledger Live встроена проверка при процедуре листинга приложений. Они всегда проверяют ваше устройство при установке, обновлении приложений или прошивке. Я удалил большую часть отслеживающего кода в Lecce Libre, но слежка все равно ведется», – написал разработчик в соцсети Х.

В начале декабря REKTBuilder заявил, что Ledger Live записывает криптовалютные балансы пользователей. Позднее была выпущена альтернатива Ledger Live с открытым исходным кодом, без трекеров, под названием «Lecce Libre». Теперь REKTBuilder утверждает, что обнаружил более серьезную проблему конфиденциальности в Ledger Live. Он выяснил, что несколько строк кода содержат фразу «genuine check» (подлинность проверки). Когда он добавил в этот код фразу «tracing prints» (отслеживание отпечатков), то обнаружил, что устройство не запускалось в ходе его проверки. Это вызвало любопытство у разработчика, и REKTBuilder продолжил расследование. Он обнаружил, что фактическая проверка встроена в подпрограмму listApps.

Ledger может использовать эту проверку для определения времени и даты подключения пользовательского устройства, утверждает REKTBuilder. Разработчик попытался удалить код, в результате чего программное обеспечение «сломалось» и стало непригодным для использования.

«Я попробовал отключить удаленное отслеживание, но это невозможно. Если вы это сделаете, кошелек сломается. Это означает: при каждом подключении вашего устройства, Ledger знает, что это вы, и какие приложения вы установили», — заявил REKTBuilder. Источник

Не скажу что узнал что то новое, всего лишь одно из напоминаний того, что Ledger Live использовать не стоит.

[satscraper]

программное обеспечение аппаратного кошелька для хранения биткоинов Ledger Live отслеживает своих пользователей и собирает их данные.

 Ledger Live  не является програмным  обеспечением самого аппаратника. Это интерфейс, клиент, обеспечивающий связь аппартника  с сервером (во множественном числе) компании Леджер.

REKTBuilder исследовал код Python программного обеспечения устройства и предположил, что оно выполняет «проверку подлинности устройства» каждый раз, когда пользователь подключает кошелек Ledger к компьютеру или телефону. По словам REKTBuilder, эту проверку проходят все приложения, установленные на устройстве, поэтому Ledger может узнать, какие сети использует владелец кошелька.

«В Ledger Live встроена проверка при процедуре листинга приложений. Они всегда проверяют ваше устройство при установке, обновлении приложений или прошивке. Я удалил большую часть отслеживающего кода в Lecce Libre, но слежка все равно ведется», – написал разработчик в соцсети Х.

В начале декабря REKTBuilder заявил, что Ledger Live записывает криптовалютные балансы пользователей. Позднее была выпущена альтернатива Ledger Live с открытым исходным кодом, без трекеров, под названием «Lecce Libre». Теперь REKTBuilder утверждает, что обнаружил более серьезную проблему конфиденциальности в Ledger Live. Он выяснил, что несколько строк кода содержат фразу «genuine check» (подлинность проверки). Когда он добавил в этот код фразу «tracing prints» (отслеживание отпечатков), то обнаружил, что устройство не запускалось в ходе его проверки. Это вызвало любопытство у разработчика, и REKTBuilder продолжил расследование. Он обнаружил, что фактическая проверка встроена в подпрограмму listApps.

Ledger может использовать эту проверку для определения времени и даты подключения пользовательского устройства, утверждает REKTBuilder. Разработчик попытался удалить код, в результате чего программное обеспечение «сломалось» и стало непригодным для использования.

«Я попробовал отключить удаленное отслеживание, но это невозможно. Если вы это сделаете, кошелек сломается. Это означает: при каждом подключении вашего устройства, Ledger знает, что это вы, и какие приложения вы установили», — заявил REKTBuilder. Источник

Не скажу что узнал что то новое, всего лишь одно из напоминаний того, что Ledger Live использовать не стоит.

Это для меня не новость. Любой централизованный сервер будет собирать информацию о подключенном клиенте. В данном случае в качестве клиента выступает Ledger Live.

Я даже свой Passport 2 не рискую подключать к Envoy, мобильному клиенту, выполняющему  ту же функцию связи с центральным сервером компании, что и  Ledger Live в случае аппаратника Ledger.

Я использую свою собственныу ноду, спариваю свой  аппаратник  с  независимым клиентом (Sparrow) для связи с этoй нодой и не беспокоюсь об отслеживании.

Поступайте так же и со своими аппаратниками.