Gegevens 1 miljoen gebruikers Ledger-cryptowallet openbaar
De gegevens van meer dan één miljoen gebruikers van de Ledger-cryptowallet zijn openbaar gemaakt op internet. Het gaat om e-mailadressen en van bijna tienduizend gebruikers ook namen, telefoonnummers, adresgegevens en aangeschafte producten.
Aanvallers wisten in juni van dit jaar toegang tot de marketingdatabase van Ledger te krijgen die de gegevens bevatte. Ledger biedt hardwarematige wallets voor het opslaan van allerlei cryptovaluta. Volgens de fabrikant wist een aanvaller via een verkeerd geconfigureerde API-key van een derde partij, aanwezig op ledger.com, toegang tot de database te krijgen en zo contact- en bestelgegevens in te zien.
De verkeerd geconfigureerde API-key was sinds 9 augustus 2018 actief. Volgens Ledger zouden aanvallers er van april 2020 tot 28 juni 2020 misbruik van van hebben gemaakt. Na ontdekking van het datalek werd de betreffende API-key uitgeschakeld. Ledger maakt gebruik van een derde partij voor het versturen en analyseren van transactie- en marketingmails aan klanten die producten op Ledger.com hebben aangeschaft of zich voor de nieuwsbrief hebben aangemeld.
De gestolen gebruikersgegevens werden in eerste instantie verkocht, voordat ze deze maand openbaar werden gemaakt op internet, zo stelt beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned. De één miljoen e-mailadressen zijn inmiddels toegevoegd aan de zoekmachine, waarmee gebruikers kunnen kijken of hun gegevens in bekende datalekken voorkomen. Van de gestolen e-mailadressen was 69 procent al via een ander datalek bij Have I Been Pwned bekend.
Update
Op het forum waar de data wordt aangeboden staat dat het om de adresgegevens van 272.000 Ledger-gebruikers gaat en 1,3 miljoen e-mailadressen.
Reacties (15)
Met name het feit dat adresgegevens gelekt zijn is een groot probleem. Mocht Bitcoin weer in koers omhoog exploderen dan weet men waar een potentieel doelwit (of zijn familie) zich bevind.
Dit is zeer ernstig. Een aantal jaren geleden heb ik een ledger besteld op mijn thuisadres en daarbij ook mijn telefoonnummer opgegeven. Momenteel word ik dus wekelijks bestookt met sms-berichten en mailtjes met phishing-aanvallen. Bovendien weet men op welk fysiek adres een ledger te vinden is (met alle gevaren van dien) en wordt ook mijn echte naam erbij vermeld. Dit betekent dus bovendien dat er nu openbare data bestaat waarin al deze data gecombineerd op straat ligt.
Sinds een tijdje doe ik het helemaal anders. Geen enkele webshop krijgt nog mijn echt naam, echt adres of telefoonnummer / e-mail. Betalen doe ik met een wegwerp credit card, voor e-mail gebruik ik een wegwerp alias en in plaats van het thuisadres gebruik ik het adres van een afhaalkluis. Zodoende weten webshops vrijwel niks meer over mij en is dus ook het gevaar van datalekken minder voor mij.
Het achterlaten van je gegevens bij zo veel webshops, waarbij zonder twijfel een deel daarvan uiteindelijk zal uitlekken of misbruikt worden... daar ben ik mee gestopt. Bij webshops waar ik in het verleden wel mijn gegevens heb afgestaan heb ik met behulp van verwijderingsverzoeken en het sluiten van oude accounts de schade zoveel mogelijk geprobeerd te beperken.
Helaas is het kwaad al geschied met de Ledger-lek. Pijnlijk is het natuurlijk dat het om een wallet gaat waardoor je extra kwetsbaar bent. Het gaat niet om een paar schoenen of zo.
Sinds een tijdje doe ik het helemaal anders. Geen enkele webshop krijgt nog mijn echt naam, echt adres of telefoonnummer / e-mail. Betalen doe ik met een wegwerp credit card, voor e-mail gebruik ik een wegwerp alias en in plaats van het thuisadres gebruik ik het adres van een afhaalkluis. Zodoende weten webshops vrijwel niks meer over mij en is dus ook het gevaar van datalekken minder voor mij.
Het achterlaten van je gegevens bij zo veel webshops, waarbij zonder twijfel een deel daarvan uiteindelijk zal uitlekken of misbruikt worden... daar ben ik mee gestopt. Bij webshops waar ik in het verleden wel mijn gegevens heb afgestaan heb ik met behulp van verwijderingsverzoeken en het sluiten van oude accounts de schade zoveel mogelijk geprobeerd te beperken.
Helaas is het kwaad al geschied met de Ledger-lek. Pijnlijk is het natuurlijk dat het om een wallet gaat waardoor je extra kwetsbaar bent. Het gaat niet om een paar schoenen of zo.
Dit is in mijn optiek een van de meest ernstige datalekken van de afgelopen tijd. Vooral omdat slachtoffers erg kwetsbaar zijn doordat nu bekend is wie (met naam en adres) deze crypto wallets in huis heeft liggen met potentieel veel waarde aan bitcoin en andere cryptos daarop. Nog afgezien van de soms zeer goede phishing-aanvallen waar altijd weer mensen intrappen en daarmee enorm veel geld kunnen verliezen. Deze datalek is schokkend in veel opzichten. Ledger had naast een betere beveiliging moeten nadenken of het deze gegevens überhaupt had moeten bewaren, gezien de gevoeligheid ervan. Na het verwerken van een weborder hadden deze thuisadressen ook vernietigd kunnen worden.
Hopelijk een wake up call voor zowel consumenten als webshops die nog altijd veel te laks met klantgegevens en waar de belangen van marketing nog altijd voorop staan. Mensen wees terughoudend met het verstrekken van informatie over jezelf aan wie dan ook! Probeer dit altijd te minimaliseren, want vroeger of later gaat het weer een keer mis. En het is belachelijk hoeveel gegevens sommige webshops van je vragen voor een simpele bestelling (geboortedatum, etc?!?).
Hopelijk een wake up call voor zowel consumenten als webshops die nog altijd veel te laks met klantgegevens en waar de belangen van marketing nog altijd voorop staan. Mensen wees terughoudend met het verstrekken van informatie over jezelf aan wie dan ook! Probeer dit altijd te minimaliseren, want vroeger of later gaat het weer een keer mis. En het is belachelijk hoeveel gegevens sommige webshops van je vragen voor een simpele bestelling (geboortedatum, etc?!?).
Door Anoniem: Met name het feit dat adresgegevens gelekt zijn is een groot probleem. Mocht Bitcoin weer in koers omhoog exploderen dan weet men waar een potentieel doelwit (of zijn familie) zich bevind.
Ja. Ik vind het bizar dat Ledger er zo makkelijk over doet, er zijn nu een aantal publieke websites die deze data indexeren en beschikbaar stellen. Voortaan maar bestellen via een postbus.
Door Anoniem: Met name het feit dat adresgegevens gelekt zijn is een groot probleem. Mocht Bitcoin weer in koers omhoog exploderen dan weet men waar een potentieel doelwit (of zijn familie) zich bevind.
Dan zijn de bijkomende risico's als gevolg van de lek dus denkbaar en evident.
En dat tegen deze achtergrond die de overheid hanteert:
De hele leest van de privacy risico's is juist volgens Ferd Grapperhaus en voorgangers dat je niet als gevolg van rechtstreeks of indirect onrechtmatig en/of oneigenlijk handelen of handeling slachtoffer kan worden omdat je ergens doelwit of ongericht schade oploopt.
Ferd Grapperhaus haalde een parallel aan van heling. Dat is ook strafbaar, mede volgens hem om vervreemding van iemands eigendom te bemoeilijken.
Ferd Grapperhaus haalde ook aan dat indien er geen direct band is tussen personen als initele dader(s) van een lek en de exploiteur(s) van het lek - moedwillig of onmoedwillig - de toehoorder van wie de gegevens zijn gelekt beschermd moet zijn en blijven tegen de kans tegen verdere exploitatie van het lek.
Hij stelde dat het niet omwille van damage control is, maar omwille van privacy en omwille dat er al jarenlang privacy beginselen in het recht een belangrijk gegeven zijn.
Op basis van de privacy principes die we in NL hoog houden, mag je toch concluderen dat alleen al het lek - ook al is misschien nog niet direct manifest - een principieel en juridisch verwijtbaar probleem kan zijn?
Ongeacht of mensen daadwerkelijk via die gegevens slachtoffer gaan worden of niet.
Door Anoniem: Dit is zeer ernstig. Een aantal jaren geleden heb ik een ledger besteld op mijn thuisadres en daarbij ook mijn telefoonnummer opgegeven. Momenteel word ik dus wekelijks bestookt met sms-berichten en mailtjes met phishing-aanvallen. Bovendien weet men op welk fysiek adres een ledger te vinden is (met alle gevaren van dien) en wordt ook mijn echte naam erbij vermeld. Dit betekent dus bovendien dat er nu openbare data bestaat waarin al deze data gecombineerd op straat ligt.
Sinds een tijdje doe ik het helemaal anders. Geen enkele webshop krijgt nog mijn echt naam, echt adres of telefoonnummer / e-mail. Betalen doe ik met een wegwerp credit card, voor e-mail gebruik ik een wegwerp alias en in plaats van het thuisadres gebruik ik het adres van een afhaalkluis. Zodoende weten webshops vrijwel niks meer over mij en is dus ook het gevaar van datalekken minder voor mij.
Het achterlaten van je gegevens bij zo veel webshops, waarbij zonder twijfel een deel daarvan uiteindelijk zal uitlekken of misbruikt worden... daar ben ik mee gestopt. Bij webshops waar ik in het verleden wel mijn gegevens heb afgestaan heb ik met behulp van verwijderingsverzoeken en het sluiten van oude accounts de schade zoveel mogelijk geprobeerd te beperken.
Helaas is het kwaad al geschied met de Ledger-lek. Pijnlijk is het natuurlijk dat het om een wallet gaat waardoor je extra kwetsbaar bent. Het gaat niet om een paar schoenen of zo.
Sinds een tijdje doe ik het helemaal anders. Geen enkele webshop krijgt nog mijn echt naam, echt adres of telefoonnummer / e-mail. Betalen doe ik met een wegwerp credit card, voor e-mail gebruik ik een wegwerp alias en in plaats van het thuisadres gebruik ik het adres van een afhaalkluis. Zodoende weten webshops vrijwel niks meer over mij en is dus ook het gevaar van datalekken minder voor mij.
Het achterlaten van je gegevens bij zo veel webshops, waarbij zonder twijfel een deel daarvan uiteindelijk zal uitlekken of misbruikt worden... daar ben ik mee gestopt. Bij webshops waar ik in het verleden wel mijn gegevens heb afgestaan heb ik met behulp van verwijderingsverzoeken en het sluiten van oude accounts de schade zoveel mogelijk geprobeerd te beperken.
Helaas is het kwaad al geschied met de Ledger-lek. Pijnlijk is het natuurlijk dat het om een wallet gaat waardoor je extra kwetsbaar bent. Het gaat niet om een paar schoenen of zo.
Waar regel je een afhaalkluis of werkt dit alleen met bepaalde webwinkels?
quote :"Het gaat om e-mailadressen en van bijna tienduizend gebruikers ook namen, telefoonnummers, adresgegevens en aangeschafte producten"
Waarom worden deze gegevens anno 2020 nog steeds niet versleuteld of losgekoppeld ? is dit te moeilijk ? alles ligt nu op straat.
Waarom worden deze gegevens anno 2020 nog steeds niet versleuteld of losgekoppeld ? is dit te moeilijk ? alles ligt nu op straat.
Door Anoniem:
Waar regel je een afhaalkluis of werkt dit alleen met bepaalde webwinkels?
Door Anoniem: Dit is zeer ernstig. Een aantal jaren geleden heb ik een ledger besteld op mijn thuisadres en daarbij ook mijn telefoonnummer opgegeven. Momenteel word ik dus wekelijks bestookt met sms-berichten en mailtjes met phishing-aanvallen. Bovendien weet men op welk fysiek adres een ledger te vinden is (met alle gevaren van dien) en wordt ook mijn echte naam erbij vermeld. Dit betekent dus bovendien dat er nu openbare data bestaat waarin al deze data gecombineerd op straat ligt.
Sinds een tijdje doe ik het helemaal anders. Geen enkele webshop krijgt nog mijn echt naam, echt adres of telefoonnummer / e-mail. Betalen doe ik met een wegwerp credit card, voor e-mail gebruik ik een wegwerp alias en in plaats van het thuisadres gebruik ik het adres van een afhaalkluis. Zodoende weten webshops vrijwel niks meer over mij en is dus ook het gevaar van datalekken minder voor mij.
Het achterlaten van je gegevens bij zo veel webshops, waarbij zonder twijfel een deel daarvan uiteindelijk zal uitlekken of misbruikt worden... daar ben ik mee gestopt. Bij webshops waar ik in het verleden wel mijn gegevens heb afgestaan heb ik met behulp van verwijderingsverzoeken en het sluiten van oude accounts de schade zoveel mogelijk geprobeerd te beperken.
Helaas is het kwaad al geschied met de Ledger-lek. Pijnlijk is het natuurlijk dat het om een wallet gaat waardoor je extra kwetsbaar bent. Het gaat niet om een paar schoenen of zo.
Sinds een tijdje doe ik het helemaal anders. Geen enkele webshop krijgt nog mijn echt naam, echt adres of telefoonnummer / e-mail. Betalen doe ik met een wegwerp credit card, voor e-mail gebruik ik een wegwerp alias en in plaats van het thuisadres gebruik ik het adres van een afhaalkluis. Zodoende weten webshops vrijwel niks meer over mij en is dus ook het gevaar van datalekken minder voor mij.
Het achterlaten van je gegevens bij zo veel webshops, waarbij zonder twijfel een deel daarvan uiteindelijk zal uitlekken of misbruikt worden... daar ben ik mee gestopt. Bij webshops waar ik in het verleden wel mijn gegevens heb afgestaan heb ik met behulp van verwijderingsverzoeken en het sluiten van oude accounts de schade zoveel mogelijk geprobeerd te beperken.
Helaas is het kwaad al geschied met de Ledger-lek. Pijnlijk is het natuurlijk dat het om een wallet gaat waardoor je extra kwetsbaar bent. Het gaat niet om een paar schoenen of zo.
Waar regel je een afhaalkluis of werkt dit alleen met bepaalde webwinkels?
Er zijn verschillende oplossingen.
In het geval van DHL of PostNL kun je vaak voor een afhaallocatie kiezen. Ik heb daarbij de voorkeur aan een kluis, want dan krijg je gewoon een code. Deze zijn soms te vinden op stations of bedrijfsverzamelgebouwen. Vooral in en rond de steden. Bij andere afhaalpunten waar gewoon mensen werken moet je je legitimeren en dan moet je dus ook je echte naam opgeven bij de bestelling en dat is geen optie voor mij.
Ik heb momenteel het geluk dat ik in Amsterdam woon en in die regio zijn verschillende kluizen van het bedrijf MyPup (https://my-pup.com). Dit bedrijf is echt fantastisch. Je laat pakketten naar hun adres sturen (hun 'hub') en je krijgt een speciale code die je invoert als je naam bij een bestelling. Vervolgens stoppen ze het voor je in een kluis ergens in Amsterdam (vaak kantoorcomplexen of appartementencomplexen) en sturen ze je een code via e-mail om het op te halen. Ik heb geen enkele persoonlijke gegevens hoeven te verstrekken. Alleen een e-mail (alias) voor het ontvangen van de code.
Vrijwel elke app deelt gegevens met Google, Facebook, etc. Hoe kwalijk ook.
De enige oplossing is in veel gevallen inderdaad om deze aanroepen te blokkeren met een PiHole / NextDNS, enzovoort.
Ook de bank-app van bunq doet hieraan mee.
https://reports.exodus-privacy.eu.org/en/reports/com.bunq.android/latest/
Echt idioot als je het mij vraagt. Google hoeft echt niet te weten wanneer en hoe ik bankier. Veel andere bank-apps zijn trouwens schoon van tracking. Dus ik vraag me echt stevig af waarom bunq meedoet aan deze praktijken. Zeker omdat je daar voor een rekening minstens €8,- per maand betaald.
De enige oplossing is in veel gevallen inderdaad om deze aanroepen te blokkeren met een PiHole / NextDNS, enzovoort.
Ook de bank-app van bunq doet hieraan mee.
https://reports.exodus-privacy.eu.org/en/reports/com.bunq.android/latest/
Echt idioot als je het mij vraagt. Google hoeft echt niet te weten wanneer en hoe ik bankier. Veel andere bank-apps zijn trouwens schoon van tracking. Dus ik vraag me echt stevig af waarom bunq meedoet aan deze praktijken. Zeker omdat je daar voor een rekening minstens €8,- per maand betaald.
Ook leuk voor de belastingdienst om even te kijken wie er thuis een crypto wallet heeft liggen in eigen beheer en dit naast de aangifte te leggen.
Door Anoniem: Dit is zeer ernstig. Een aantal jaren geleden heb ik een ledger besteld op mijn thuisadres en daarbij ook mijn telefoonnummer opgegeven. Momenteel word ik dus wekelijks bestookt met sms-berichten en mailtjes met phishing-aanvallen. Bovendien weet men op welk fysiek adres een ledger te vinden is (met alle gevaren van dien) en wordt ook mijn echte naam erbij vermeld. Dit betekent dus bovendien dat er nu openbare data bestaat waarin al deze data gecombineerd op straat ligt.
(...)
(...)
Beroerd zeg. Ik heb ooit voor een klein bedragje wat aan cryptovaluta gekocht en op een online wallet geparkeerd. Gezien de bedenkelijke reputatie van de online wallets en het koersverloop dit najaar staat wilde ik migreren naar een hardwarewallet , de Ledgers stonden op de shortlist.
Voor de online wallet hoefde ik (destijds) geen persoonlijke gegevens te verstrekken.
Waar in het proces bij het activeren van een hardwarewallet (en aan wie) heb je pesoonlijke gegevens moeten achterlaten? Verschilt het Trezor ecosysteem hierin?
Ik heb een paar youtube filmpjes over de Ledger bekeken maar ik vind geen antwoord op mijn vraag.
Door Anoniem:
Beroerd zeg. Ik heb ooit voor een klein bedragje wat aan cryptovaluta gekocht en op een online wallet geparkeerd. Gezien de bedenkelijke reputatie van de online wallets en het koersverloop dit najaar staat wilde ik migreren naar een hardwarewallet , de Ledgers stonden op de shortlist.
Voor de online wallet hoefde ik (destijds) geen persoonlijke gegevens te verstrekken.
Waar in het proces bij het activeren van een hardwarewallet (en aan wie) heb je pesoonlijke gegevens moeten achterlaten? Verschilt het Trezor ecosysteem hierin?
Ik heb een paar youtube filmpjes over de Ledger bekeken maar ik vind geen antwoord op mijn vraag.
Door Anoniem: Dit is zeer ernstig. Een aantal jaren geleden heb ik een ledger besteld op mijn thuisadres en daarbij ook mijn telefoonnummer opgegeven. Momenteel word ik dus wekelijks bestookt met sms-berichten en mailtjes met phishing-aanvallen. Bovendien weet men op welk fysiek adres een ledger te vinden is (met alle gevaren van dien) en wordt ook mijn echte naam erbij vermeld. Dit betekent dus bovendien dat er nu openbare data bestaat waarin al deze data gecombineerd op straat ligt.
(...)
(...)
Beroerd zeg. Ik heb ooit voor een klein bedragje wat aan cryptovaluta gekocht en op een online wallet geparkeerd. Gezien de bedenkelijke reputatie van de online wallets en het koersverloop dit najaar staat wilde ik migreren naar een hardwarewallet , de Ledgers stonden op de shortlist.
Voor de online wallet hoefde ik (destijds) geen persoonlijke gegevens te verstrekken.
Waar in het proces bij het activeren van een hardwarewallet (en aan wie) heb je pesoonlijke gegevens moeten achterlaten? Verschilt het Trezor ecosysteem hierin?
Ik heb een paar youtube filmpjes over de Ledger bekeken maar ik vind geen antwoord op mijn vraag.
Nee het gaat hier om gelekte gegevens van hun webshop (afleveradres, telefoon, naam, etc). Als je de Ledger via een derde partij hebt aangeschaft zit je dus niet in deze lek. Alleen als je direct via hun webshop gekocht hebt.
Om de Ledger te gebruiken hoef je uiteraard geen persoonlijke gegevens te verstrekken in welke vorm dan ook.
Ik fake altijd mijn voorletters die ik invul.
Ik vul daar de naam of afkorting in die verwijst naar het bedrijf waar ik die gegevens achterlaat.
Als ik het niet vertrouw vuil ik ook een fake adres in een haal het pakket(je) af bij een pickup point zoals een supermarkt en betaal met afterpay.
Wordt mijn adres verkocht dan weet ik welk bedrijf dit deed adh van mijn voorletters.
Ik vul daar de naam of afkorting in die verwijst naar het bedrijf waar ik die gegevens achterlaat.
Als ik het niet vertrouw vuil ik ook een fake adres in een haal het pakket(je) af bij een pickup point zoals een supermarkt en betaal met afterpay.
Wordt mijn adres verkocht dan weet ik welk bedrijf dit deed adh van mijn voorletters.
Ik raad jullie de recentste aflevering van de podcast “What Bitcoin Did” aan waarin de CEO van Ledger een en ander toelicht over deze lek.
Handig dit te lezen nadat je net een Ledger in hun webshop hebt gekocht... “vanuitgaande” dat juist dit soort bedrijven hun zaken op orde hebben, hierdoor juist niet bij 3e partij besteld (zoals bol oid).
Daar ik geen reactie krijg van hun support informatie gaan inwinnen. Erg schokkend zoals eerder hier beschreven..
Hebben ze ondertussen hun security verbeterd en verwijderen ze de klant gegevens na bv 30 dagen zoals trezor?
Daar ik geen reactie krijg van hun support informatie gaan inwinnen. Erg schokkend zoals eerder hier beschreven..
Hebben ze ondertussen hun security verbeterd en verwijderen ze de klant gegevens na bv 30 dagen zoals trezor?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
