Ledger Hack und seine Folgen

  • Wie ja allgemein bekannt ist, wurde die Kundendatenbank von Ledger im Mai 2020 gehackt. Leider waren auch die Datensätze zwei meiner Freunde dabei. Ich hatte meinen Ledger zum Glück von Ebay und bin daher verschont geblieben. Die entsprechende Datenbank mit über einer Million E-Mail-Adressen und persönlichen Kontaktdaten wurde in einem Internet-Forum veröffentlicht. Da die Private Keys nur von den Besitzern genutzt werden können, wurden bei der Attacke keine Kryptowährungen entwendet. Bei den veröffentlichten Informationen handelt es sich allerdings um persönliche Kunden-Kontaktdaten, die jetzt online und für jeden zugänglich sind, was natürlich krass ist.


    Laut Ledger sind jedoch keine Zahlungsdaten vom Hack betroffen. Darüber hinaus betrifft es vor allem die Kunden ab dem Zeitraum April 2020.


    Laut Angaben des Unternehmens seien etwa 270.000 Kunden vom aktuellen Hack betroffen, welche über den Vorfall bereits per E-Mail informiert wurden. Meine Freudne wurden allerdings nicht informiert.


    Zu den kompromittierten Daten zählen neben E-Mail-Adresse auch persönliche Kontaktdaten wie Name, Adresse und Telefonnummer.


    Da sich die gestohlenen Daten nun öffentlich im Netz befinden, hat jeder Zugriff darauf. Für Hacker dürften Nutzer, die sich eine Hardware-Kryptowallet zulegen angesichts der zuletzt enorm gestiegenen Bitcoin-Kurse besonders lohnende Ziele sein. Daher ist klar, dass es zu Phishing-Versuchen, Erpressungen und anderen Methoden in den kommenden Monaten kommen wird, was bei meinen Freunden auch schon passiert ist.


    Nun wurden die Daten im November 2020 aber auch noch für alle offen gelegt: Die von den Hackern gestohlene Datenbank ist auf dem Messageboard raidforums.com aufgetaucht. Ein Nutzer meinte dort, dass die Daten zuvor in einem anderen Forum zum Kauf angeboten worden seien, angeblich für 14 Bitcoin. Die HAcker, welche die Daten hatten und monetarisieren wollten, waren über die Veröffentlichung natürlich frustriert.


    Das zur Vorgeschichte!


    Im Juli 2020 tauchte dann eine Phishing-Mail auf, die es in sich hatte: Vermeintlich informierte Ledger darin über einen Sicherheitsvorfall und forderte den User auf, eine neue Version der Wallet herunterzuladen. Die Mail war gut gefälscht, lediglich ein Blick auf den Absender zeigte, dass sie nicht von „ledger.com“ kam, sondern von „legder.com“, also g und d vertauscht.


    Vielen Usern ist das nicht gleich aufgefallen und alleine in den Foren waren ca. 50, die sich die Software auf der Fake-Seite herunter geladen haben.


    Ebenso verbreitet waren Mails, die so aussehen, als wären sie von Ledger.com: Die Betrüger kopieren Mails, die Ledger tatsächlich versendet hat, ändern darin aber natürlich einen Link; oder sie informieren den User über unbefugte Logins oder ausgehende Transaktionen. Meine beiden Freunde hatten ständig versuche in ihren Accounts, die Passworte zu erraten.


    Weiter ging es dann mit SMS, , denn die Handy Nr war ja ebenso gestohlen, die den Start von „Ledger DeFi“ ankündigten und LGR-Token versprachen. Terror pur.


    Dann folgen Anrufe von Telefonanschlüssen angeblich aus Leipzig und Berlin. Die Anrufer versuchten meine Freunde zu bewegen, Geld vom angeblich unsicheren Ledger auf eine angeblich sicherer Tradingbörse zu überweisen.


    Mich würde interessieren, was es hier noch für Erfahrungen mkit dem Ledger Hack gibt und was Euch so passiert ist.

  • Wer sich offziell als Coin-Inhaber ausgibt, scheint generell gefährlich zu leben, wie man an dieser Tabelle seit 2014 sieht:


    https://github.com/jlopp/physical-bitcoin-attacks


    Ich frage mich, wie sich solche Leute, wie Dr. Julian Hosp schützen, der ja offen bekennt, dass er 80 Mio in Bitcoin oder anderen Coin hat:

    External Content www.youtube.com
    Content embedded from external sources will not be displayed without your consent.
    Through the activation of external content, you agree that personal data may be transferred to third party platforms. We have provided more information on this in our privacy policy.


    Vermutlich lebt er deshalb im sicheren Singapure. ^^

  • Ich frage mich das auch, er sagte mal in einem Livevideo sinngemaess "Morgen gehe ich um 14 Uhr auf dem und dem Platz Tennisspielen".

    Singapore ist eben sehr sicher, da kann man das offenbar machen. Hier in Deutschland ist der § 241 StGB Bedrohung ja faktisch abgeschafft, weil einem die Polizei immer erzählt, sie können nichts machen, bis kein Blut geflossen ist. Eine schlimme Situation, in die wir uns gebracht haben mit diesem unfähigen Staat.

  • Das ist genau der Grund, warum ich gerade zögere, eine cold Wallet zu kaufen. Ledger fragt bei der Bestellung nach der Telefonnummer und zeigt nicht an, dadss das Feld optional wäre. Weiß das jemand? Ich mag meine Daten dort nicht angeben.


    Die Gerauchtpreise für ledger bei ebay liegen über den Neupreisen, liegt das nur an der Datenangabe?

  • Ic habe meine Coins bisher ausschließlich auf Coinbase liegen und überlege jetzt, da der Betrag langsam größer wird, einen Ledger Nano S zu kaufen. Auf Amazon sehe ich aber sehr schlechte Bewertungen hierzu, beispielsweise dass der Ledger sich nicht mehr mit dem PC verbindet oder komplett hängt. Habt ihr auch schon Erfahrungen damit gemacht? Kennt ihr gute Alternativen?

  • Erzeuge eine aktuelle Electrum wallet auf einem offline (bleibenden frischen) System mit Validierung der Installationsdatei und sichere den seed gut. Sende die bitcoin an eine der wallet Adressen. In einem Explorer (nicht in der wallet) kannst du dann nachschauen ob es geklappt hat. Keine hardwarewallet ist unauffaelliger als eine hardwarewallet.

    Es birgt eine gewisse Gefahr, wenn ein hardwarewallet-Hersteller deine Heimanschrift im Computer hat, irgendwann werden die gehackt oder ein korrupter Angestellter verkauft die Adressen an lokale Kriminelle im darknet und die klingeln an der Tuer, da nuetzt die beste Verschluesselung nichts. Wenn du selbst einen seed generierst dann weiss kein Dritter dass du bitcoin hast. Das gleiche Problem besteht, wenn du bitcoin an einem Exchange kaufst der deinen Ausweis sehen wollte.
    https://github.com/jlopp/physical-bitcoin-attacks

  • Ich persönlich bin auch eher Freund einer Open Source Soft-Wallet.

    Da haben tausende Leute mit Sachkenntnis auf den Code geschaut.

    Wenn das Binary korrekt signiert ist dann vertraue ich dem.

    Wer weiß denn was bei Ledger passiert?

    Als Entwickler dort würde ich wohl schon darüber nachdenken mir eine geheime Backdoor in die Firmware einzubauen. So für die Rente. :)

  • Super danke euch, ich werde mir heute in der Mittagspause mal Electrum runterladen. Ist das einfach zu nutzen?

    Ich finde ja. Aber vergiss nicht die Signaturen zu verifizieren, um sicher zu sein, dass die Datei nach dem Download noch dem Original entspricht. Wenn du es auf deinem normalen Rechner installierst neben vielen anderen apps dann wuerde ich da nur ueben und kleine Betraege verwenden.

    Groessere Betraege wuerde ich nur auf einem mehr abgesicherten System transferieren. Bzw wenn du hodlest dann gehe nach der Installation nicht mehr online mit der wallet und dem Betriebssystem. Dann kann die wallet auch keiner hacken.

  • Ich persönlich bin auch eher Freund einer Open Source Soft-Wallet.

    Da haben tausende Leute mit Sachkenntnis auf den Code geschaut.

    Wenn das Binary korrekt signiert ist dann vertraue ich dem.

    Wer weiß denn was bei Ledger passiert?

    Als Entwickler dort würde ich wohl schon darüber nachdenken mir eine geheime Backdoor in die Firmware einzubauen. So für die Rente. :)

    Diese moegliche Gefahr sehe ich bei hardwarewallets auch. Ich fragte mal Andreas Antonopoulos wie ich denn sicherstellen kann, dass bei einer hardwarewallet die private keys ueberhaupt mit einem guten Zufallsgenerator erzeugt werden, wenn der Sourcecode nicht komplett offenliegt. Also wie vermeide ich, dass z.B. nur aus einem pool von 10 Millionen verschiedenen keys geschoepft wird (das wuerde der Anwender nicht merken) und der Programmierer macht nach 5 Jahren einen brute force Angriff auf diese 10 Millione keys und raeumt alle wallets ab. Andreas sagte natuerlich, dass ich das nicht ausschliessen kann, dass dies also ein Risiko ist.


    Auch kann ich mir nicht vorstellen dass ich als Hodler in 15 Jahren noch sicher meine bitcoin von dem Stick holen kann. Wahrscheinlich finde ich keinen Rechner der noch USB und bluetooth-Schnittstellen hat und ein aktuelles sicheres Betriebssystem erlaubt. Dann muss ich mit einem unsicheren System auf den Stick zugreifen und dieser hat eine firmware die vielleicht schon gehackt wurde.


    Der Hersteller wird einen dann (wenn er noch existiert) angucken, als wenn man mit der 25 jahre alten Videokamera kommt und die Kassetten auslesen will. Und wird sagen, dass das ja ein veraltetes Modell sei, dass es viel sicherere gaebe und dass die Firmware ja schon dreimal upgedated wurde.


    Ich weiss, dass die meisten hardewarewallets empfehlen, aber ich werde damit nicht warm. Zu viele haben auch dort ihre coins verloren, in einem mir bekannten Fall ueber eine Millionen in Euro. Meist waren dies zwar Anwenderfehler, aber diese scheinen nicht selten vorzukommen.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!