Noua breșă Ledger nu ți-a furat cripto, dar a expus informații care duc infractorii violenți la ușa ta

Clienții Ledger s-au trezit pe 5 ianuarie cu un email pe care nimeni nu vrea să îl vadă: numele și informațiile lor de contact au fost expuse prin intermediul unei breșe de securitate la Global-e, un procesor de plăți terț.

Compania a clarificat ce nu a fost compromis: nicio cartelă de plată, nicio parolă și, esențial, nicio frază de recuperare de 24 de cuvinte. Hardware-ul a rămas neatins, firmware-ul securizat, stocarea seed-ului intactă.

Pentru o breșă de date, acesta este cel mai bun scenariu posibil. Cu excepția faptului că în crypto, o etichetă de expediere scursă poate fi primul pas într-o pâlnie de phishing sau, în scenarii rare de tip worst-case, o bătaie în ușă.

Adevărata vulnerabilitate nu este portofelul

BleepingComputer a raportat că atacatorii au accesat datele comenzilor cumpărătorilor din sistemul cloud al Global-e, copiind nume, adrese poștale, emailuri, numere de telefon și detalii ale comenzilor.

Aceasta este o "breșă de stivă comercială", în care nicio cheie criptografică nu a fost atinsă, niciun dispozitiv nu a fost compromis printr-o ușă din spate și niciun exploit nu a învins elementul securizat al Ledger.

Ceea ce au obținut atacatorii este mai practic: o listă de contacte proaspătă, de înaltă calitate, cu proprietari confirmați de portofele hardware cu adrese de expediere la domiciliu.

Pentru operatorii de phishing, acestea sunt date de țintire de nivel infrastructură. Portofelul hardware și-a făcut treaba, dar aparatul comercial din jur le-a oferit atacatorilor tot ce aveau nevoie.

Ledger a mai trecut prin asta. În iunie 2020, un atacator a exploatat o cheie API configurată greșit pentru a accesa baza de date e-commerce a companiei. Un milion de adrese de email au fost expuse, iar 272.000 de înregistrări includeau nume complete, adrese poștale și numere de telefon.

Bitdefense a caracterizat-o ca fiind o "oportunitate de aur pentru escroci".

Atacurile nu au fost subtile. Notificări false de breșă îndemnau utilizatorii să "verifice" frazele de recuperare pe site-uri web clonate, iar actualizări frauduloase Ledger Live livrau colectoare de credențiale.

Unele emailuri de extorcare amenințau cu invazii la domiciliu, făcute credibile de posesia atacatorilor asupra adreselor victimelor și achizițiilor confirmate de portofele.

Un set de date care nu se termină niciodată

Scurgerile de informații personale identificabile (PII) în crypto au o durabilitate neobișnuită.

Lista Ledger din 2020 nu a expirat. În 2021, infractorii au trimis prin poștă dispozitive de "înlocuire" manipulate fizic la adresele din dump. Pachetele ambalate în folie cu antet fals instruiau victimele să introducă frazele de recuperare pe hardware modificat conceput pentru a exfiltra seed-urile.

Până în decembrie 2024, BleepingComputer a documentat o nouă campanie de phishing folosind linii de subiect "Alertă de securitate: Breșa de date poate expune fraza ta de recuperare".

În plus, raportul de amenințări MetaMask din 2025 a remarcat că scrisori fizice au fost trimise prin poștă victimelor din 2020, pe papetărie falsă Ledger, îndreptându-i către linii de suport frauduloase.

Setul de date a devenit o fixație permanentă, reciclat prin email, SMS și poștă tradițională.

Breșa Global-e oferă atacatorilor o nouă versiune a aceleiași arme. Avertismentul Ledger anticipează în mod explicit acest lucru: așteptați-vă la phishing care valorifică scurgerea, verificați toate domeniile, ignorați indiciile de urgență, nu împărtășiți niciodată fraza voastră de 24 de cuvinte.

Când phishing-ul se transformă în amenințări fizice

Scurgerea din 2020 nu a compromis niciodată un dispozitiv Ledger, dar a normalizat tratarea listelor de clienți ca intrări pentru infracțiuni grave. Bitdefender a remarcat emailuri de răscumpărare folosind adrese scurse pentru a amenința cu invazii la domiciliu. Ledger a eliminat 171 de site-uri de phishing în primele două luni.

Rapoartele documentează jafuri fizice în creștere, invazii la domiciliu și răpiri menite să extragă chei private în Franța, Statele Unite, Regatul Unit și Canada.

Un incident francez a implicat răpirea în ianuarie 2025 a cofondatorului Ledger, David Balland, și a partenerului său, în timpul căreia atacatorii au tăiat un deget în timp ce cereau răscumpărare.

Scurgerile anterioare Ledger au provocat atacuri wrench, cu rapoarte susținând că creșterea atacurilor violente asupra executivilor crypto se corelează cu breșele de la Ledger, Kroll și Coinbase care au expus detaliile utilizatorilor cu avere mare.

Infractorii combină baze de date scurse cu înregistrări publice pentru a profila și localiza țintele.

TRM Labs confirmă mecanismul: informațiile personale colectate online, cum ar fi adresele și detaliile familiei, au simplificat profilarea victimelor pentru invazii la domiciliu, chiar și atunci când tehnologia portofelului rămâne necompromisă.

Forțele de ordine tratează acum scurgerile de PII specifice crypto ca ingrediente în extorcare violentă.

Cum să gestionezi o problemă de ecosistem

Ledger nu este singur. Când Kroll a fost compromis în august 2023, datele creditorilor FTX, BlockFi și Genesis au fost accesate.

Procesele susțin că gestionarea greșită a dus la emailuri zilnice de phishing care falsificau portalurile de revendicări.

Modelul este constant: vânzătorii terți dețin date "nesensibile" care devin sensibile atunci când sunt legate de proprietatea activelor crypto. O adresă de expediere este metadata până când este atașată la o comandă de portofel hardware.

Stratul comercial, format din platforme comerciale, CRM-uri și integrări de expediere, creează hărți despre cine deține ce și unde să îi găsească.

Sfatul Ledger este solid: verificați domeniile, ignorați urgența, nu împărtășiți niciodată seed-ul. Totuși, cercetătorii în securitate sugerează extinderea acestuia.

Utilizatorii cu dețineri de valoare mare ar trebui să ia în considerare activarea funcției opționale de frază de acces, un al 25-lea cuvânt care există doar în memorie. În plus, utilizatorii ar trebui să își rotească periodic informațiile de contact, să folosească adrese de email unice pentru achizițiile de portofele și să monitorizeze tentativele de swap SIM.

Expunerea adresei comportă risc offline. Minimizarea livrărilor, cum ar fi redirecționarea poștei, adresele de afaceri și locațiile de ridicare, reduce suprafața pentru coerciție fizică. Atacurile wrench rămân statistic rare, dar reprezintă o amenințare reală și în creștere.

Incidentul Global-e ridică întrebări fără răspuns: Câți clienți au fost afectați? Ce câmpuri specifice au fost accesate? Au fost compromis și alți clienți Global-e? Ce jurnale urmăresc mișcarea intrusului?

Industria crypto trebuie să regândească riscurile infrastructurii sale comerciale. Dacă auto-custodia elimină terții de încredere din controlul activelor, predarea datelor clienților către platforme de e-commerce și procesatori de plăți creează hărți exploatabile ale țintelor.

Portofelul hardware ar putea fi o fortăreață, dar operațiunile de afaceri creează vulnerabilități persistente.

Breșa Global-e nu va hackui niciun dispozitiv Ledger. Nu trebuie. Le-a oferit atacatorilor o listă proaspătă de nume, adrese și dovadă de achiziție, care este tot ce este necesar pentru a lansa campanii de phishing care vor rula ani de zile și, în cazuri rare, a permite infracțiuni care nu necesită ocolirea criptării.

Adevărata vulnerabilitate nu este elementul securizat. Este urma de hârtie care duce la ușile utilizatorilor.

Postarea Noua breșă Ledger nu ți-a furat crypto, dar a expus informații care conduc infractorii violenți la ușa ta a apărut prima dată pe CryptoSlate.