UWAGA - Wyciek danych z bazy Ledgera

[koparki]

Gdybym to ja pisał tę "groźbę" to chyba opluwałbym monitor ze śmiechu co kilka słów. Niezłe gangusy co odstąpią od morderstwa za tysiaka

Ten kto dostał takiego maila ( download/file.php?id=5903 )powinien odesłać jego kopię do firmy Ledger wraz z pismem adwokata o 500 000zł odszkodowania za ryzyko na które wystawiono rodzinę, za szkody psychiczne w postaci stanów nerwowo-lekowych całej rodziny, na pokrycie długotrwałej ochrony osobistej i zabezpieczeń mienia. Produkty są w cenach mocno odrealnionych z ogromną marżą, prymitywny kawałek elektroniki w cenach niemal całego smartfona więc znajdzie sie hajs na odszkodowania.
Najlepiej się zorganizować i zrobić pozew zbiorowy - życzę aby się to stało i aby poszkodowani doprowadzili do likwidacji tej firmy , za numer który wywinęła jest jedna kara - firma powinna przestać istnieć. Ich produkty, częściowo zamkniętoźródłowe są zabezpieczone zapewne tak jak poufne dane klientów, jak w ogóle można było na cos takiego pozwolić, że ktokolwiek może sobie zerknąć kto z jego miejscowości- ze szczegółowym adresem domowym ma na tyle dużo krypto że kupił portfel sprzętowy do tego prosto od producenta aby nie ryzykować że przechodzi on przez inne ręce.

[ekonokomik]

Raczej przez specjalistów wiertarkowych

Trochę panikujecie
Co w takim razie mają powiedzieć userzy Goxa, których pełne dane wyciekły włącznie ze stanem konta?
Tak podchodząc do sprawy, każdy kto miał tam kilkadziesiąt BTC powinien wynająć ochronę dla dzieci i spać z bronią pod poduszką.

[koparki]

@ekonokomik ale jest taka różnica że użytkownicy goxa nie mają realnie tych środków bo poszły one na dno razem z Goxem. Każdy wyciek takich danych to zło. Wysyłanie skanu dowodu w świat z powodu KYC tu i ówdzie na lewo i prawo to potencjalnie wyciek z opóźnionym zapłonem

[miso20]

@ekonokomik To tak pół żartem było ;P

https://niebezpiecznik.pl/post/pogrzeb- ... -e-mailem/

[jpr]

Tez się zastanawiałem, jak można ufac firmie, która twierdzi, ze ich produkt zabezpiecza moje krypto a nie potrafiła zabezpieczyc danych osobowych klientów. Kiedys widziałem jakis temat na reddicie a moze i tutaj na forum, ze potencjalny hakier mogłby podłożyć soft juz na poziomie fabryki ledgera.
Ale nie straszę bo nie jestem pewien czy to jest wykonalne.

[kozaki_wiesi]

jak można ufac firmie, która twierdzi, ze ich produkt zabezpiecza moje krypto a nie potrafiła zabezpieczyc danych osobowych klientów

I jeszcze mają czelność napisać coś takiego:

Avoiding situations like this are a top priority for our entire company, and we have learned valuable lessons from this situation which will make Ledger even more secure.

[McGravier]

learned valuable lessons from this situation

"Valuable lesson" to będzie kiedy wkurzeni klienci dojadą Ledgera pozwem zbiorowym. Już teraz założyli /r/ledgerwalletleak w celu dyskusji dot. pozwu sądowego. Wrażenie mam take, że większości tych ludzi nie interesują odszkodowania, tylko spalenie tej firmy do gołej ziemi. To jest olbrzymie pogwałcenie GDPR (po naszemu RODO) i samo w sobie zwiastuje wielomilionową grzywnę. A mogą dojść jeszcze inne roszczenia.

[ikswodnal]

to będzie kiedy wkurzeni klienci dojadą Ledgera pozwem zbiorowym

Sprawa będzie się wlokła aż zostanie rozwiązana w sposób naturalny - to znaczy wymrą wszyscy mający roszczenia do Ledgera. Też kupiłem przekonany iż to lepsze niż "Paper Walet".
Do Francuzów od czasów Berlieta mam ograniczone zaufanie - ten incydent potwierdza.

[miso20]

Wrażenie mam take, że większości tych ludzi nie interesują odszkodowania, tylko spalenie tej firmy do gołej ziemi.

Po paru tygodniach nie będzie po tym pewnie śladu. Gniew szybko płonie i szybko gaśnie. Ledger pewnie porobi kozackie promocje i wszyscy zapomną. Zresztą nie zapominajmy ile osób korzysta z ledgerów, a nie zna się na krypto. Nie tylko sami wieloletni użytkownicy. Nowi ludzie w krypto idą głównie do ledgera, bo ma masę reklam. Oni pewnie nawet nie wiedzą, że coś wyciekło...

[jpr]

Ledger pewnie porobi kozackie promocje i wszyscy zapomną

Jaką promocję moze zaoferować ledger ludziom, którzy juz go mają. Moze dodatkowy kod pin
Myśle, że Ledger jako firma sporo straciła tu na reputacji.

Co teraz mają pomyśleć ludzie, którzy dopiero zaczynają z krypto kiedy wszyscy im wmawiali "hardware wallet is the way to go."

[koparki]

Co teraz mają pomyśleć ludzie, którzy dopiero zaczynają z krypto kiedy wszyscy im wmawiali "hardware wallet is the way to go."

Mają wyciągnąć wniosek , że zakup tylko anonimowo z ręki do ręki u oficjalnego dystrybutora. I zbojkotować firme która niby robi sprzęt do zabezpieczania a nie potrafi zabezpieczyć skrajnie krytycznych danych którymi są ich klienci znani nie tylko z imienia i nazwiska ale i z adresu i telefonu. Olejcie tego producenta , macie jeszcze do wyboru Trezora.

[rav3n_pl]

Gdyby ktoś przeoczył, to zbieramy kopie maili dla niebieskich: viewtopic.php?f=7&p=671786#p671786

[miso20]

Jaką promocję moze zaoferować ledger ludziom, którzy juz go mają. Moze dodatkowy kod pin

Mało kto ma tylko jedną sztukę. Dużo ludzi dokupuje systematycznie kolejne urządzenia wraz ze zwiększaniem ilości krypto. Zresztą chodzi mi po prostu o robienie dobrego PRu.

a nie potrafi zabezpieczyć skrajnie krytycznych danych którymi są ich klienci znani nie tylko z imienia i nazwiska ale i z adresu i telefonu.

No właśnie i tutaj mam pytanie jako osoba nie mająca pojęcia o zabezpieczeniach systemów informatycznych. Co takiego złego zrobił ledger albo czego nie zrobił a powinien?

Bo w gruncie rzeczy wycieki danych są raczej chlebem powszednim. Nieraz słyszałem o wyciekach różnych baz danych. Oczywiście wyciek ledgera jest dużo bardziej szkodliwy, bo można powiązać z kimś BTC. Ale chodzi mi o same działania jakie mogli podjąć.

Bo mniemam, że zabezpieczenia były tylko widocznie hakerzy okazali się zbyt mądrzy? Podobno każdy system da się złamać.

[Yogi77]

Co teraz mają pomyśleć ludzie, którzy dopiero zaczynają z krypto kiedy wszyscy im wmawiali "hardware wallet is the way to go."

Mają wyciągnąć wniosek , że zakup tylko anonimowo z ręki do ręki u oficjalnego dystrybutora. I zbojkotować firme która niby robi sprzęt do zabezpieczania a nie potrafi zabezpieczyć skrajnie krytycznych danych którymi są ich klienci znani nie tylko z imienia i nazwiska ale i z adresu i telefonu. Olejcie tego producenta , macie jeszcze do wyboru Trezora.

I w czym jest niby bezpieczniejsze kupienie od "oficjalnego" dystrybutora niż kupienie od nieoficjalnego ? Ktoś wie co właściwie Ledger weryfikuje, dając firmie status oficjalnego dystrybutora ?

[miso20]

I w czym jest niby bezpieczniejsze kupienie od "oficjalnego" dystrybutora niż kupienie od nieoficjalnego ? Ktoś wie co właściwie Ledger weryfikuje, dając firmie status oficjalnego dystrybutora ?

To, że kupujesz z reki do ręki, za gotówkę. Nie podajesz żadnych danych, więc nikt nie wie gdzie cię napaść

A poza tym koparki chodziło o kupienie od dystrybutora vs od ledgera, a nie kupienie od dystrybutora vs dystrybutora

[Yogi77]

To, że kupujesz z reki do ręki, za gotówkę. Nie podajesz żadnych danych, więc nikt nie wie gdzie cię napaść

A poza tym koparki chodziło o kupienie od dystrybutora vs od ledgera, a nie kupienie od dystrybutora vs dystrybutora

I u oficjalnego i u nieoficjalnego mogę kupić do ręki.

Ale jaką weryfikacje ten "oficjalny" dystrybutor przeszedł (poza zapewne wypełnieniem formularza na stronie Ledgera) to nie wiem i dlatego pytam, trochę wątpiąc że zwiększa to jakoś istotnie zaufanie do tak kupionego urządzenia.

[adiqq]

To, że kupujesz z reki do ręki, za gotówkę. Nie podajesz żadnych danych, więc nikt nie wie gdzie cię napaść

A poza tym koparki chodziło o kupienie od dystrybutora vs od ledgera, a nie kupienie od dystrybutora vs dystrybutora

Nie jestem tak do końca przekonany. Chyba że kupuje F2F. (ale i tak nie wiem czy nie ma wymogu podania danych - procedury!!)..bo kupując wraz z wysyłką to i tak przecież podajesz swoje dane (adres chyba też, do sprawdzenia), nawet jak wysyłka jest do paczkomatu - to też podajesz maila i nr telefonu

[jpr]

Ale panowie zaraz zaraz wy podajecie co zrobić zeby się uchronic przed wyciekiem danych. Oficjalny we francji czy w polsce - jakie to ma znaczenie. A bo to polskiego dystrubutora nie da sie jakos oszukac? To chyba nie nasza brocha jest żeby musieć kombinować skąd tu kupić. Wyciek danych to chleb powszedni? No bez jaj. Firma, która sprzedaje krypto portfele nie umie zabezpieczyć swoich serwerów? Domnieman, ze nie umieją tez zabezpieczyć swojej fabryki w chinach gdzie siedzi Yao Bum Bang i juz kombinują z chlopakami jak wyniesc kilka tysiecy sztuk po czym wniesc je na taśme produkcyjną jako nowe.

Może lepiej zastanówmy się jak tu zrobić "idiot proof" poradnik dla nowych zeby korzystali z zimnego portfela czy cos.

[KryptoBanita]

Dzisiaj coś takiego mi wpadło w oko... Chyba gdzieś na forum był temat o klonowaniu kart, ale tutaj ilość/skala robi wrażenie:

https://www.dobreprogramy.pl/Ukradli-mi ... 12372.html

[miso20]

Nie wiem nad czym wy dyskutujecie. Pierwszy przykład z brzegu: idę do biura Flyingatom, daje 300zł do łapy i do łapy dostaje ledger nano s. Bez żadnych danych. A jak ktoś jest paranoikiem, to może i w szaliku pewnie przyjść.

Chyba widać jak na dłoni czym to się różni od kupna u producenta czy też u nieoficjalnego dystrybutora? A jeżeli zarzucicie, że oficjalny dystrybutor mógł grzebać przy portfelu, to może przy nim grzebać także kurier prosto z fabryki ledgera. W Polsce mamy o tyle łatwo, że można kupić portfele rzeczywiście z ręki do ręki lub do paczkomatu. Wtedy wystarczy podanie tylko maila.

Firma, która sprzedaje krypto portfele nie umie zabezpieczyć swoich serwerów?

Nie bronie ich w ogóle - żeby była jasność. Ale jak niby mają zabezpieczyć serwery? Przecież każdy system, który jest postawiony przez człowieka można rozbroić. Jeżeli dane leżały na laptopie z windowsem gołe, no to jest wtopa na maksa. Ale skąd wiemy, że tam nie było zabezpieczeń lepszych niż w bankach, tylko być może komuś się udało je przełamać? Najlepiej niech ktoś mądrzejszy się wypowie.

nawet jak wysyłka jest do paczkomatu - to też podajesz maila i nr telefonu

Możesz zamówić do paczkomatu na dane: Miś Uszatek, Stumilowy las 75, 00-349 Kraina Czarów, nie podawać nr telefonu, a maila dać zza tora. Spróbuj, a zobaczysz czy ci dojdą przesyłki .

Ale jaką weryfikacje ten "oficjalny" dystrybutor przeszedł (poza zapewne wypełnieniem formularza na stronie Ledgera) to nie wiem i dlatego pytam, trochę wątpiąc że zwiększa to jakoś istotnie zaufanie do tak kupionego urządzenia.

Nie zwiększa - wyżej pisałem, że jeżeli można grzebać w fabryce ledgera, to można też u dystrybutora. Z kupnem do paczkomatu lub do ręki chodzi o to, że nie zostawisz nigdzie swoich prawdziwych danych i nie ryzykujesz ich wycieku. Nie ryzykujesz dostawania pogróżek i mailu o zarzynaniu twojej rodziny.

A to czy urządzenie jest skompromitowane to inna bajka i jest zapewne nie do przejścia kwestia zaufania producentowi. Trezor też może buble robić, ale nikt ich jeszcze nie próbował zhackować. Był tu jednak wątek na forum, że da się wykraść seeda mając fizycznie czyjegoś trezora.