Das französische Unternehmen für Krypto-Hardware-Wallets Ledger enthüllte in einem Blogbeitrag, dass seine E-Commerce-Datenbank letzten Monat gehackt wurde und etwa eine Million E-Mail-Adressen kompromittiert wurden. Von dem Verstoss sollen jedoch keine Benutzergelder betroffen sein.
Ledger fügte auch hinzu, dass von einer Gruppe von 9.500 Kunden auch Kontakt- und Bestellinformationen offengelegt wurden und Details wie Vor- und Nachname, Postanschrift und Telefonnummer durchgesickert seien. Der Hack, der auf die Marketing- und E-Commerce-Datenbank des Unternehmens abzielte, wurde inzwischen gepatcht.
Ledger gehackt: Nur Kontakt- und Bestelldaten betroffen
Das Problem wurde zunächst am 14. Juli von einem Forscher gemeldet, der am Ledgers Bug-Bounty-Programm teilnahm. Zu diesem Zeitpunkt wurde das Problem auch gleich behoben, doch es stellte sich später heraus, dass der Verstoss eigentlich Wochen zuvor aufgetreten war – noch am 25. Juni. Die Ursache für das Problem war ein Tool eines Drittanbieters, das unter Verwendung eines API-Schlüssels Zugang auf die Marketing- und E-Commerce-Datenbank des Wallet-Herstellers hatte.
Es wurde über einen (mittlerweile deaktivierten) API-Schlüssel auf die Marketing- und E-Commerce-Datenbank des Unternehmens zugegriffen, in der Auftragsbestätigungen gesendet wurden. Es handelte sich dabei ausschliesslich um Kontakt- und Bestelldaten, sodass vom Hackangriff keine Zahlungsinformationen, Passwörter, privaten Schlüssel und Krypto-Assets betroffen waren.
Die Hardware-Wallets von Ledger – Ledger Nano X und Ledger Nano S – wurden übrigens von CoinPro.ch getestet und die Unterschiede in diesem Bericht zusammengefasst.
Keine Auswirkungen auf die Sicherheit von Krypto-Assets
„Diese Datenverletzung hat keinerlei Verbindung und keinerlei Auswirkungen auf unsere Hardware-Wallets oder die Sicherheit von Ledger-Live und Ihre Krypto-Assets. Diese sind sicher und waren nie in Gefahr“, erklärte Ledger. Das Unternehmen fügte auch hinzu, den Datenschutz sehr ernst zu nehmen, sodass diese Sicherheitsanfälligkeit dank des firmeneigenen Bug-Bounty-Programms entdeckt und sofort behoben wurde.
Ledger gab auch an, am 17. Juli einen Bericht bei der französischen Datenschutzbehörde CNIL eingereicht zu haben. Um die potenzielle Datenschutzverletzungen zu identifizieren und potenzielle Schäden der Datenschutzverletzung zu bewerten, hat das Unternehmen auch eine Partnerschaft mit Orange Cyberdefense geschlossen.
Derzeit wird immer noch nach Beweisen gesucht, ob die gestohlenen Daten nicht vielleicht im Internet verkauft werden, doch die Suche war bisher erfolglos. Zuletzt warnte das Unternehmen seine Benutzer auch davor, auf Phishing-Versuche böswilliger Betrüger zu achten. Alle betroffenen Benutzer wurden über den Verstoss informiert und die Untersuchung ist noch nicht abgeschlossen.
Auch Hardware-Wallets sind unter Umständen gefährdet
Forscher von Ledger haben in einem Test Angriffe gegen Produkte der Hersteller Coinkite und Shapeshift demonstriert, um Hack-Angriffe auf die digitale Wallet zu simulieren. Vor allem der physische Zugriff auf die Geräte würde es Hackern leicht machen, weshalb Ledger argumentierte, auch die Hardware-Wallets auf höchstem Sicherheitsniveau zu halten.
Charles Guillemet, Chief Technology Officer von Ledger, erklärte, dass wenn ein Angreifer physischen Zugriff auf eine Hardware-Wallet hat, diese möglicherweise nicht ganz sicher ist. Dies ist der Grund, weshalb sogar einige Krypto-Börsen Hardware-Brieftaschen verwenden, um die Bestände offline zu halten. Inhaber von Kryptowährungen sollen deshalb auch ihre Hardware-Wallet physisch sicher aufbewahren, da diese ansonsten Schwächen aufweisen könnte.
