원장 데이터 유출 : ‘간단한 실수’로 27 만 명의 암호 화폐 구매자 노출

지난 7 월 Ledger의 보안 침해에 책임이있는 해커는 최근 전화 번호와 실제 주소를 포함하여 270,000 명 이상의 고객의 개인 정보를 노출하는 많은 양의 데이터를 덤프했습니다. 또한 회사의 뉴스 레터 서비스에 가입 한 Ledger 지갑 소유자 및 고객의 이메일 100 만 개도 유출되었습니다..

사고로 인한 분노 속에서 Ledger는 발생할 수있는 손실에 대해 사용자에게 보상하기보다는 보안 인프라를 개선하는 데 초점을 맞추고 있다고 말합니다. 한편 일부 고객은 집단 소송 형태로 회사에 대한 법적 조치를 고려하고있는 것으로 알려졌다..

Ledger 고객 데이터 유출은 또한 더 많은 Know Your Customer 컴플라이언스 프로토콜을 구현하는 것에 대한 토론을위한 새로운 자료를 제공하며, 비평가들은 이러한 조치가 중요한 개인 데이터를 노출하기위한 표적 사이버 공격을 조장한다고 주장합니다..

270,000 개 이상의 개인 계정 정보 유출

앞서 언급했듯이, 해커는 아마도 7 월에 Ledger 전자 상거래 데이터베이스를 침해 한 것으로 추정되며 수천 명의 영향을받는 사용자의 개인 정보를 온라인에 버렸습니다. 이 회사는 사용자 데이터에 대한 더 나은 보호를 제공하지 않고 초기 침해의 정도를 경시하는 소셜 미디어의 비난을 받았습니다. 당시 하드웨어 지갑 제조업체는 9,500 명의 고객 만이 보안 침해의 영향을 받았다고 선언했습니다..

보고 된 영향을받는 사람 수의 불균형을 해결하기 위해 Ledger 발행 된 12 월 21 일 성명에서 누출이 연초에 분석 할 수 있었던 것보다 더 많은 물질을 덮었다 고 선언했습니다. 그러나 회사는 고객 자금이 안전하다고 확인하면서 다음과 같이 덧붙였습니다.“이 데이터 유출은 하드웨어 지갑, 앱 또는 귀하의 자금에 링크 나 영향이 없습니다. 귀하의 암호화 자산은 안전합니다. 진정으로 진심으로 유감 스럽지만 이번 침해는 전자 상거래 관련 정보에만 해당됩니다. “

Twitter를 통해 사건에 대응, Ledger CEO Pascal Gauthier 주목 유출은 사이버 공격의 위협이 증가하고 있음을 나타냅니다. Peter McCormack, Gauthier와 함께 비트 코인이 한 팟 캐스트에 출연 댓글을 남김 회사의 전자 상거래 스택에서 발생한 실수로 인해 침해의 특성에 대해 설명.

“잘못된 위치에 코딩 된 상점에서 데이터베이스를 가져 오기 위해 맵 클라이언트에 코딩 된 잘못된 API 키이므로 코딩되어서는 안되는 곳에서 코딩되어 데이터베이스를 간단한 공격에 노출 시켰습니다. ”Gauthier 설명.

유출에 대한 대응이 진행되는 가운데 일부 사이버 보안 전문가들은이 사건이 데이터베이스 관리자가 사용자 데이터를 저장할 때 암호화를 배포하지 않았 음을 나타내는 또 다른 지침이라고 강조했습니다. Ledger CEO는 API 키에 대한 암호화 부족 문제를 해결했으며 이는 API 키를 해시하지 않아 고객의 안전을 위협하려는 의도적 인 시도가 아니라 정직한 실수라고 덧붙였습니다..

하드웨어 지갑 제조업체 인 NGRAVE의 CEO 인 Ruben Merre는 유출에 대해 언급하면서이 사건은 보안 고려 사항을 희생하여 오는 암호 화폐 회사들 사이의 급속한 성장을 반영했다고 말했습니다. 그는 다음과 같이 덧붙였습니다.“많은 온라인 플랫폼이 해킹 당하지 만 반드시 해커의 기술 때문은 아닙니다. 종종 플랫폼은 구현은 말할 것도없고 나쁜 보안 거버넌스를 가지고 있습니다. “

‘Scareware’및 기타 위험 요소

데이터 유출은 이제 Ledger 사용자의 이메일로 무장 한 악의적 인 행위자가 지갑의 고객을 속여 24 단어 시드 문구를 공개하도록 시도하면서 또 다른 피싱 공격을 촉발했습니다. 데이터 덤프 이전에도 이러한 가짜 이메일은 정기적으로 발생했습니다..

그러나 전화 번호와 개인 주소가 노출되면 Ledger 사용자가 더 많은 위험 요소에 노출 될 수 있습니다. 일부 사용자는 아마도 이중 인증 프로토콜을 손상시키려는 해커와 함께 자신의 번호에 대한 SIM 스와핑 공격을 시도했다고보고했습니다..

암호 화폐 투자자는 과거에 SIM 스왑 공격의 대상이었습니다. 지난 6 월 Richard Yuan Li는 20 명 이상의 개인을 대상으로 한 일련의 SIM 스왑 공격과 관련하여 유선 사기를 저지른 음모 혐의로 기소되었습니다..

피싱 및 SIM 스왑 익스플로잇 외에도 데이터 유출은 위험 요소가 스 캐어웨어를 넘어 실제 물리적 공격 영역으로 이동할 가능성을 열어줍니다. 실제로, 사고의 영향을받는 일부 사용자는 지불을 요청하는 위협적인 메시지를 받았거나 가정에 침입 할 위험이 있다고 주장합니다..

Ledger CEO는 회사의 감독의 결과로 물리적 공격의 가능성을 인정했으며, 하드웨어 지갑 장치에 자금 도난을 방지하기위한 여러 보호 프로토콜이 포함되어 있음을 사용자에게 확신 시켰습니다. 이러한 보안 조치 중에는 잘못된 암호 입력을 사용하여 기기를 포맷하거나 더미 계정을 표시하는 두 번째 비밀번호를 사용하여 소유자의 실제 자금을 악의적 인 행위자로부터 안전하게 보호합니다..

또한 일치 소셜 미디어의 보안 전문가들 사이에서 소비자는 Ledger 하드 지갑과 같은 민감한 항목에 대해 실제 집 주소 대신 우체국 사서함 주소 또는 기타 공공 픽업 위치를 사용해야합니다. 전화 번호가 손상된 사람들의 경우 가장 좋은 조치는 새 번호를 받고 새 이메일 주소를 사용하여 중요한 연락처에 변경 사항을 알리는 것입니다..

영향을받은 고객은 계속해서 유출 사고를 처리하고 있지만 Ledger는 향후 발생을 방지하기 위해 노력하고 있다고 말합니다. Cointelegraph에 대한 성명에서 회사는 다음과 같이 말했습니다.

“우리는 이러한 공격을 중단하고 향후 이와 같은 상황을 피하기 위해 최선을 다하고 있습니다. Ledger는 피싱 공격의 피해자가되지 않도록 사용자를 보호하기위한 일련의 조치를 취하고 있습니다. 피싱 공격의 구조를 공유하는 웹 페이지를 설정하여 사용자가 피싱 공격에 빠지지 않고 새로운 공격을보고 할 수 있습니다. “

영향을받은 사용자가 법적 조치를 취하겠다고 위협 함

일부 영향을받은 사용자는보고 된 유출 직후 Ledger에 대한 법적 조치를 옹호하기 시작했습니다. Reddit 플랫폼에는 “Ledger wallet leak”subreddit도 있습니다. 사용자가 집단 소송을위한 가능한 방식에 대해 논의하고 있습니다..

파리에 본사를두고있는 Ledger는 유럽 연합의 법률을 따릅니다. 11 월에 유럽 의회는 채택 된 EU 고객이 향후 2 년 이내에 해당 지역에서 활동하는 회사에 대해 집단 소송을 제기 할 수있는 법률 개정안.

당시 판결에 따르면, 일단 법이 통과되면 금융 서비스, 관광 및 데이터 보호와 관련된 사건에 대해 EU에서 운영되는 기업에 대해 집단 소송을 제기 할 수 있습니다..

Ledger의 EU 고객은 불만 제 기자를 대표하기 위해 자격을 갖춘 소비자 보호 기관 또는 기타 공인 기관이 필요합니다. 그러나 미국 법률과 달리 EU 집단 소송으로 인한 징벌 적 손해는 원고 집단에 의해 발생한 실제 손실로 제한됩니다..

회사를 상대로 소송을 제기하는 고객과 별도로 데이터 유출은 특히 EU 일반 데이터 보호 규정에 따라 유럽 규제 기관의 눈에 개인 정보 침해를 구성 할 수 있습니다. 이러한 상황에서 EU는 수익의 최대 4 %까지 원장에 벌금을 부과 할 수 있습니다..

실제로 Ledger CEO가 사용자 데이터를 부적절하게 익명으로 회사에 인정한 경우 회사는 EU 관리로부터 조사를받을 수 있습니다. GDPR 리사이틀 26 명령 모든 회사는 저장되거나 처리 된 데이터의 캐시에서 사용자를 식별 할 수있는 모든 정보를 완전히 제거합니다..