Ledger Datenbank gehackt – darauf sollten Nutzer achten

Ledger verliert Kundendaten

Wer in Kryptowährungen wie Bitcoin, Chainlink oder Ethereum investiert, muss zu ab einem gewissen Zeitpunkt mit passenden Aufbewahrungsmöglichkeiten für seine Coins auseinandersetzen. Neben den oft verwendeten Geräten des Herstellers Trezor gibt es insbesondere die Geräte von Ledger, die eine große Fan-Basis besitzen. Bisher waren diese Geräte ohne Tadel und erhielten mitunter Bestnoten. Doch wie das französische Unternehmen nun bekannt gab, nutzten Angreifer eine Sicherheitslücke, um Millionen an Kundendaten zu entwenden. Was bedeutet das für Nutzer?

Was ist passiert?

Unternehmen investieren im Normalfall hohe Beträge an Ethical Hacker, um potenzielle Sicherheitslücken in der eigenen IT zu identifizieren. Auch Ledger hat eine Belohnung ausgeschrieben für Hacker, die eine solche Lücke identifizieren. Wie das Unternehmen bekannt gab, wurde eine solche Lücke von einem Nutzer am 14. Juli 2020 identifiziert. Im konkreten Fall ging es um eine mögliche Datenverletzung auf der Ledger-Website.

Wie das Unternehmen nun bekannt gab, wurde diese Sicherheitslücke unmittelbar nach deren Feststellung behoben und anschließend im Rahmen einer internen Untersuchung genauestens analysiert. Nichtsdestotrotz musste Ledger feststellen, dass diese Sicherheitslücke vor dem Patch am 25. Juni 2020 von einem Angreifer ausgenutzt wurde. Dieser soll sich Zugriff auf die E-Commerce- und Marketingdatenbank verschafft haben.

Dabei erhielt der Angreifer Zugriff auf die Marketingdatenbank, welche insbesondere für das Versenden von Auftragsbestätigungen, Werbenachrichten, und das Speichern von Kontakt- und E-Mail-Adressen dient. Dementsprechend haben die Angreifer nun Zugriff auf Nutzerdaten wie Name, Anschrift, E-Mail-Adresse und Telefonnummer. Dahingegen befanden sich die Zahlungsinformationen nicht auf dem betroffenen Server, sodass sämtliche Kontoinformationen als sicher gelten.

Aus Transparenzgründen hat sich Ledger unmittelbar dazu entschieden, den Angriff zu publizieren. Ein wichtiger Bestandteil der öffentlichen Erklärung dreht sich um die Frage, warum dieser Angriff überhaupt stattfinden konnte. Im Grunde stelle ein API-Schlüssel zur E-Commerce und Marketing-Datenbank eine Sicherheitslücke dar, die von den Angreifern ausgenutzt wurde. Inzwischen konnten die Betreiber diese Lücke schließen und somit für zusätzlichen Schutz im System sorgen.

Welche persönlichen Informationen haben die Angreifer von Ledger erlangt?

Im Grunde sind die Angreifer an Bestell- und Kontaktdaten gelangt. Hierbei stehen insbesondere die E-Mail-Adressen der Kunden im Fokus. Laut offiziellen Angaben seitens Ledger könnten rund eine Million Kundenadressen betroffen sein.

Bei rund 9.500 Kunden konnten ebenfalls Informationen wie Postanschrift, Telefonnummer und Bestellungen ergattert werden. Zur Sicherheit hat sich Ledger dazu entschlossen, alle Kunden über die Sicherheitslücke zu informieren. Die besonders schwer betroffenen Nutzer sollen zudem zusätzliche Informationen mitsamt spezifischen Details erhalten. Der Angriff umfasst lediglich personenbezogene Kontaktdaten. Nicht betroffen sind sensible Zahlungsdaten und Passwörter.

Des Weiteren merkt Ledger an, dass der Angriff keinerlei Auswirkungen auf die Ledger Nano Wallets habe. Auch Ledger Live und die Vermögenswerte der Anleger seien weiterhin sicher und seien zudem nie in Gefahr gewesen. Da sich der Private Key nie in den Daten des Unternehmens befinde, sich die Nutzerdaten besonders sicher und allein im Verantwortungsbereich des Endnutzers.

Welche Maßnahmen hat Ledger ergriffen?

Nach dem Bekanntwerden der Sicherheitslücke wurde diese unmittelbar von Ledger geschlossen. Da es sich lediglich um Kontaktdaten der Nutzer handele, hat sich das Unternehmen zudem für interne Untersuchungen entschieden. Im Rahmen der Untersuchungen engagierte Ledger externe Dritte, die sich genauestens mit dem Angriff auseinandergesetzt haben. Erst nach dem Abschluss der Untersuchungen folgte die Information an die Nutzer.

Außerdem hat sich Ledger dazu entschieden, die französische Datenschutzbehörde (CNIL) einzuschalten. Diese soll sicherstellen, dass die Regularien der EU-DSGVO auf die Speicherung und Verwendung der Kundendaten Anwendung findet. Außerdem hat das Unternehmen am 21. Juli eine Partnerschaft mit Orange Cybersecurity geschlossen, um den Schaden der Datenverletzung zu bewerten sowie Datenschutzverletzungen zu identifizieren.

Im Rahmen der Untersuchungen konnten Orange Cyberdefense und das Sicherheitsteam feststellen, dass ausschließlich die zuvor genannten Bereiche betroffen sind. Zum aktuellen Zeitpunkt sucht das Team nach Hinweisen, zur Vermarktung der Kundendaten im Internet – bisher gibt es keine offiziellen Hinweise.

Außerdem hat sich Ledger dazu entschieden, dass das Sicherheits- und Organisationsprogramm, welche sich ursprünglich auf die Produkte konzentrierte, auf den elektronischen Handel auszuweiten. Des Weiteren gibt es eine formelle Beschwerde bei den zuständigen Behörden, um eine schnellstmögliche Klärung voranzutreiben.

Schlussendlich soll Ledger Live dazu beitragen, die Privatsphäre der Nutzer zu erhöhen. Diese App, welche als Begleit-App für den Nano fungiert, soll die neue Hauptanlaufstelle für Informationen und Produktentwicklungen werden.

Was die betroffenen Nutzer jetzt machen können?

Im ersten Schritt sollten betroffene Nutzer jetzt vor allen Dingen ein tun, bedacht handeln. Die Wahrscheinlichkeit, dass Angreifer Phising-Versuche starten, ist durchaus gegeben. Dementsprechend sollten sich alle Betroffenen etwas genauer mit der Identifikation von Face-E-Mails vertraut machen.

Erhalten Nutzer dubiose Anfragen mit der Abfrage nach der 24 Wörter langen Wiederherstellungszusage, dann sollte keine Antwort erfolgen.

Außerdem rät Ledger dazu, dass Nutzer den Sicherheitsabschnitt der Ledger-Akademie besuchen, um die allgemeinen Sicherheitsprinzipien zu lernen. Zusätzlich entschuldigt sich Ledger offiziell bei den Nutzern und hofft, dass ein Bug-Bounty-Programm eine bessere Identifikation dieser Risiken ermöglicht. Für Fragen steht der Kundensupport weiterhin als Ansprechpartner zu Verfügung.

Fazit: Angriff auf Ledger ist ein Debakel für den Wallet-Hersteller

Der Angriff auf Ledger ist eine Katastrophe für das Unternehmen. Langfristig könnte der Angriff das Kundenvertrauen beeinträchtigen. Doch nicht nur aus Sicht von Ledger ist die aktuelle Situation eine Herausforderung. Vielmehr müssen sich nun auch die Anleger einem erhöhten Risiko aussetzen. Immerhin haben Angreifer Zugriff auf die E-Mail-Daten und können somit Phishing-Angriffe starten.

Die offizielle Entschuldigung sowie die offensive Untersuchung des Fehlers sind bereits erste sinnvolle Schritte, um das Vertrauen der Kunden wieder einzuholen. Auch die Bounty Programme sind sinnvoll, um die allgemeine Sicherheit der Plattform zu steigern.

Aus meiner Sicht sind die Aktionen des Unternehmens sehr gut zu bewerten. Die Installation eines Untersuchungsausschusses ist ein guter Schritt, um Schwachstellen zu identifizieren. Außerdem sollen weitere Programme dazu beitragen, dass solche Fehler schlicht und ergreifend nicht mehr passieren.

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Immer aktuell in der Blockchainwelt.

Melden Sie sich zu unserem monatlichen Newsletter an. Garantiert kostenlos und ohne Spam!