A Ledger nem fog kártérítést nyújtani az ügyfeleknek a hackertámadás után

A Ledger vezérigazgatója, Pascal Gauthier bejelentette, hogy a vállalat nem fog ügyfelei számára kártérítést nyújtani, miután a napokban az oldalt érő hackertámadás során ellopott email és fizikai címek publikálva lettek.

A napokban több mint egymillió felhasználó adatait lopták el a Ledgertől, az ellopott adatokat pedig – melyek között a felhasználók email és fizikai címe, valamint telefonszáma is szerepel – egy hacker oldalon publikálták. A Ledger azonban nem nyújt kárpótlást ügyfelei számára:

„Ha ekkora adatellopás áldozatává válik egy ilyen kis vállalat, lehetetlen több mint egy millió felhasználót kárpótolni – ez a vállalat végét jelentené. Ehelyett, a jövőbe tekintünk: rengeteg időt és pénzt fektetünk a következő biztonsági réteg felépítésébe, melyek nagyobb biztonságot fognak nyújtani a felhasználók számára.” – nyilatkozta Gauthier.

Today we were alerted to the dump of the contents of a Ledger customer database on Raidforum. We are still confirming, but early signs tell us that this indeed could be the contents of our e-commerce database from June, 2020.

— Ledger (@Ledger) December 20, 2020

Az érzékenyebb adatok publikálása a korszerűsített adathalász támadást jelenti. Korábban, a támadók emaileken keresztül arra kérték a Ledger felhasználóit, hogy töltsenek le rosszindulatú linkeket, annak reményében, hogy megszerezhetik az ügyfelek privát kulcsait kriptovalutáikhoz. Most azonban azzal fenyegetik a felhasználókat, hogy bármikor otthonaikba törhetnek, hacsak váltságdíjat nem fizetnek. Gauthier szerint ez azonban csak „egy online átverés: a valóságban ezt lehetetlen kivitelezni, mivel rengeteg költséggel járna. Így, ez nem is valószínű, hogy be fog következni. Az adatbázis június óta működik, és még soha nem jelentettek ilyen típusú támadást.”

Wouldn't want to be a Ledger customer right now 👇 pic.twitter.com/wZoH3OwTLL

— Riku Raisanen (@rikuraisanen) December 21, 2020

De miért gondolja így Gauthier? Érvelése szerint a hackerek a lehető legkevesebb pénzt fogják rászánni céljaik elérésére, és nem fogják megkockáztatni a fizikai támadást. Az ügyfeleknek azonban felelőségteljesen kell viselkedniük, és ahelyett, hogy elhagynák otthonaikat, ügyelniük kell arra, hogy ne a saját otthonaikban tárolják a privát kulcsaikat – különösen akkor, ha nagy mennyiségű kriptovalutáról beszélünk:

„Tartana otthonában egymillió dollár készpénzt? Ha ennyi vagyona van, nem okos döntés azt otthon tartani” – mondta Gauthier. A Ledger azt ajánlja ügyfeleinek, hogy privát kulcsaikat biztonságos helyen tárolják, ahol senki sem férhet hozzá.

Jameson Lopp szerint mindenkinek saját feladata identitása megőrzése

Jameson Lopp-ot, a Casa kriptovaluta tárolásra szolgáló weboldal technológiai vezetőjét 2017-ben érte támadás otthona közelében. Ezt követően, egy ismeretlen helyre költözött, és rengeteg időt és energiát fektetett a tartózkodási helye titokban tartására. Több ezer dollárt költött magánnyomozókra, hogy megtalálják támadóját – bár a keresés sikertelen volt. A Casa technológiai vezetőjeként tud egy-két dolgot a biztonságról:

„A Ledgert érő támadás szinte elkerülhetetlen volt. Ez egy visszatérő probléma, mellyel minden olyan szolgáltató szembenéz, amely nagy mennyiségű információt tárol – különösen az értékes, személyazonosításra alkalmas azonosítást. Ez a probléma pedig nem fog sem alábbhagyni, sem megszűnni” – nyilatkozta a Decryptnek.

Lopp szerint a hackerek felhasználhatják a megszerzett információkat a célpontjaik kiválasztására. Mivel otthonában megtámadni valakit elég kockázatos, így a támadók először felmérik, hogy az érintett személy rendelkezik-e valamilyen luxuscikkel.

Lopp elmondása szerint az érintett ügyfeleknek mérlegelniük kell saját helyzetüket, és gondoskodniuk kell identitásuk védelméről:

„Tehát, ha van vesztenivalód, ha nettó vagyonod döntő része kriptókhoz van kötve, melyet olyan helyen tárolsz, ahol az ki van szolgáltatva a fizikai támadásoknak – vagyonodat néhány gombnyomással elvehetik tőled” – tette hozzá Lopp azt javasolva, hogy aki ebbe a kategóriába tartozik, fektessen elegendő hangsúlyt identitása megőrzésébe.

Lopp nyilatkozata szerint a Ledger ügyfeleinek nem lenne szabad a céget hibáztatniuk a támadásért, mivel az ügyfelek döntöttek úgy, hogy megadják személyes címüket.

„Elég nevetséges, hogy az emberek kárpótlást kérnek a cégtől. A Ledger termékeivel nincs semmi baj, és továbbra is biztonságosak. A bizonytalanság abban rejlik, ahogy az emberek a vállalat termékeit használják. Ez pedig egy teljesen más problémakör ”- tette hozzá.