Már megint egy Ledger-hack: kikerültek a vásárlók adatai
A kriptovilág egyik legismertebb hardveres tárcagyártója, a Ledger ismét a figyelem középpontjába került, ezúttal azonban nem egy új termék vagy biztonsági fejlesztés miatt. Kiderült, hogy a vállalat ügyféladatbázisát ismét feltörték, ami már a harmadik ilyen jellegű incidens a cég történetében. Egy olyan iparágban, ahol a bizalom és a biztonság elvileg mindennél fontosabb, ez a sorozatos kudarc egyre kellemetlenebb kérdéseket vet fel.
A kiszivárgott információk – ahogy a korábbi esetekben is – nem pusztán technikai adatokat jelentenek, hanem olyan érzékeny ügyfélinformációkat, amelyeket a bűnözők célzott támadásokhoz használnak fel. Korábbi Ledger-incidensek után kriptofelhasználók tömegei számoltak be adathalász e-mailekről, hamis ügyfélszolgálati megkeresésekről, sőt fizikai fenyegetésekről is. Ezek nem elméleti kockázatok, hanem dokumentált, valós következmények, amelyek egy adatkezelési hiba nyomán láncreakciószerűen indulnak el.
A helyzetet különösen visszásnak érezheti a közösség, hiszen a Ledger kifejezetten biztonságcentrikus vállalatként pozicionálja magát. Hardveres tárcáit sokáig a „legbiztonságosabb megoldásként” hirdették azok számára, akik nem bíznak a centralizált szolgáltatókban vagy az online tárcákban. Ennek fényében egyre nehezebb megmagyarázni, hogyan fordulhat elő újra és újra, hogy éppen a cég ügyféladat-kezelése bizonyul a leggyengébb láncszemnek.
A Ledger lejáratta saját magát
A kritikusok szerint a probléma már nem egyetlen hibás döntésről vagy elszigetelt incidensről szól, hanem üzleti és szervezeti szintű hiányosságokról. Ha egy vállalat történetében többször is előfordul, hogy az ügyféladatok illetéktelen kezekbe kerülnek, akkor jogosan merül fel a kérdés: mennyire tekinthető ez még véletlennek, és mikortól válik rendszerszintű kockázattá?
Egyre több kriptós fogalmaz úgy, hogy felhasználói szempontból már nem racionális Ledger-termékeket vásárolni vagy használni. Nem feltétlenül azért, mert a hardver maga rossz lenne, hanem azért, mert a Ledgerhez kapcsolódó üzleti gyakorlatok bizonyítottan magas kockázattal járnak. Egy hardveres tárca ugyanis nem csak a chipről és a firmware-ről szól, hanem arról is, hogyan bánik a gyártó azzal az információval, amely összeköti a felhasználót a fizikai eszközzel.
A kriptovilág egyik alapelve a „don’t trust, verify”, vagyis ne bízz, hanem ellenőrizz. A Ledger ügye azonban azt mutatja, hogy még azokban a cégekben sem feltétlenül lehet vakon megbízni, amelyek a biztonságot teszik meg marketingjük központi elemévé. Amikor egy vállalat harmadszor kerül hasonló helyzetbe, a kérdés már nem az, hogy történt-e hiba, hanem az, hogy a felhasználók meddig hajlandók ezt elfogadni.