- Ein Hacker stellt Kundeninformationen online, die er von Ledger gestohlen hat.
- Der Wallet-Hersteller versprach, die Situation in den Griff zu bekommen, aber die Kunden sind der Versprechungen überdrüssig.
Der Top-Krypto-Wallet-Hersteller Ledger könnte mit einer Sammelklage konfrontiert werden, da die Benutzer befürchten, dass ihre persönlichen Nutzerdaten gestohlen worden sein könnten. Gal Alan, ein Forscher bei der Netzwerksicherheitsfirma Hudson Rock, bestätigte am Wochenende, dass ein Hacker, der sich Anfang des Jahres in die Systeme von Ledger hackte, damit begonnen hat, die gestohlenen Informationen online zu stellen.
Ledgers Benutzer sind besonders gefährdet
Wie Alans Tweet offenbarte, gelang es den Hackern, 1.075.382 E-Mail-Adressen von Kunden in die Hände zu bekommen, die sich für den Newsletter-Service von Ledger angemeldet hatten.
Die Hacker stahlen zudem 272.853 Informationen über Hardware-Wallet-Bestellungen, die physische Adressen, Telefonnummern und E-Mail-Adressen enthielten. Die Daten wurden nun auf RaidForms verbreitet, einem Marktplatz für den Austausch von gestohlenen Informationen. Alan erläuterte die Auswirkungen des Hacks und wies darauf hin, dass die meisten Leute, die Ledger benutzen, große Mengen an Kryptowährungen besitzen.
Wenn ihre Daten veröffentlicht werden, können sie massiven physischen und virtuellen Angriffen ausgesetzt sein. Informationen, die durch solche Angriffe beschafft wurden, können für mehrere Zwecke verwendet werden. So könnten Hacker beschließen, die Daten an Unternehmen zu verkaufen, sie für Phishing-Angriffe zu verwenden oder Identitätsdiebstahl zu begehen.
Der betreffende Hack gefährdet womöglich nicht die Gelder der Benutzer, die eventuellen Folgeschäden könnten jedoch durchaus gewaltig sein.
Betroffene Nutzer sind das Gerede leid
In einer Stellungnahme behauptete Ledger, dass der Informationsdiebstahl mit einer Datenpanne im Juni zusammenhängt. Ledger bestätigte den Hack erst einen Monat später und erklärte in einem Blogbeitrag, dass ein Teilnehmer des Bounty-Programms das Unternehmen auf die potenzielle Sicherheitslücke hingewiesen habe.
Zwar konnte das Problem behoben werden, doch weitere Untersuchungen ergaben, dass ein unbefugter Dritter im Juni ähnliche Aktionen durchgeführt hatte.
Der Hacker nutzte Berichten zufolge einen API-Schlüssel, um auf die E-Commerce- und Marketing-Datenbank von Ledger zuzugreifen, die das Unternehmen für den Versand von Werbemails nutzte. Ledger bestätigte, dass der Angriff die E-Mails von fast einer Million Benutzer betraf.
Der Hersteller fügte hinzu, dass Informationen wie Vor- und Nachnamen, Telefonnummern und Postadressen von etwa 9.500 Kunden ebenfalls betroffen waren.
Seit dem Bekanntwerden des Hacks haben sich zahlreiche Ledger-Benutzer beschwert, Ziel verschiedener Phishing-Angriffe gewesen zu sein. Einige gaben an, dass sie „glaubhafte E-Mails“ erhalten hätten, in denen sie aufgefordert wurden, Updates für ihre Wallet-Anwendungen herunterzuladen. Der Wallet-Hersteller erklärte dazu:
Wir arbeiten kontinuierlich mit den Strafverfolgungsbehörden zusammen, um Hacker zu verfolgen und diese Betrüger zu stoppen. Wir haben seit dem ursprünglichen Hack mehr als 170 Phishing-Websites vom Netz genommen.
Verständlicherweise sind zahlreiche Ledger-Nutzer die Ausreden leid. Insbesondere weil große Mengen an Geld auf dem Spiel stehen, drohen mittlerweile einige Betroffene mit rechtlichen Schritten.
