Новая утечка данных Ledger не украла вашу криптовалюту, но раскрыла информацию, которая привела преступников к вашей двери

Клиенты Ledger проснулись 5 января и увидели письмо, которое никто не хочет получать: их имена и контактная информация были раскрыты в результате утечки данных у Global-e, оплата третьим лицом.

Компания уточнила, что не было скомпрометировано: никаких платежных карт, никаких паролей и, что критически важно, никаких 24-словных фраз восстановления. Оборудование осталось нетронутым, прошивка безопасной, хранилище мнемонического слова неповрежденным.

Для утечки данных это лучший сценарий. За исключением криптовалюты, утечка транспортной этикетки может стать первым шагом в фишинговой воронке или, в редких худших случаях, стуком в дверь.

Настоящая уязвимость - это не кошелек

BleepingComputer сообщил, что злоумышленники получили доступ к данным заказов покупателей из облачной системы Global-e, скопировав имена, почтовые адреса, электронная почта, номера телефонов и детали заказов.

Это "утечка коммерческого стека", в которой не было затронуто никаких криптографических ключей, устройства не были взломаны через бэкдор, и никакой эксплойт не преодолел защищенный элемент Ledger.

То, что получили злоумышленники, более практично: свежий, высококачественный список контактов подтвержденных владельцев аппаратных кошельков с домашними адресами доставки.

Для операторов фишинга это данные для таргетирования инфраструктурного уровня. Аппаратный кошелек выполнил свою работу, но окружающий коммерческий аппарат предоставил злоумышленникам все, что им было нужно.

Ledger уже проходил через это раньше. В июне 2020 года злоумышленник использовал неправильно настроенный API ключ для доступа к базе данных электронной коммерции компании. Был раскрыт миллион адресов электронная почта, а 272 000 записей включали полные имена, почтовые адреса и номера телефонов.

Bitdefense охарактеризовал это как "золотую возможность для мошенников".

Атаки не были тонкими. Поддельные уведомления об утечках призывали пользователей "проверить" фразы восстановления на клонированных веб-сайтах, а мошеннические обновления Ledger Live доставляли сборщики учетных данных.

Некоторые письма с вымогательством угрожали вторжениями в дома, которые казались правдоподобными благодаря владению злоумышленниками адресами жертв и подтвержденными покупками кошельков.

Набор данных, который никогда не перестает давать

Утечки персонально идентифицируемой информации (PII) в криптовалюте обладают необычной долговечностью.

Список Ledger 2020 года не устарел. В 2021 году преступники отправили физически измененные "замененные" устройства по адресам из дампа. Упакованные в термоусадочную пленку посылки с поддельными фирменными бланками инструктировали жертв вводить фразы восстановления на модифицированном оборудовании, предназначенном для извлечения мнемонических слов.

К декабрю 2024 года BleepingComputer задокументировал новую фишинговую кампанию с использованием темы "Оповещение безопасности: утечка данных может раскрыть вашу фразу восстановления".

Кроме того, отчет MetaMask об угрозах 2025 года отметил, что физические письма были отправлены обычной почтой жертвам 2020 года на поддельной фирменной бумаге Ledger, направляя их на мошеннические линии поддержки.

Набор данных стал постоянным элементом, циркулирующим через электронная почта, SMS и обычную почту.

Утечка Global-e передает злоумышленникам новую версию того же оружия. Предупреждение Ledger явно это предвидит: ожидайте фишинга с использованием утечки, проверяйте все домены, игнорируйте сигналы срочности, никогда не делитесь своей 24-словной фразой.

Когда фишинг перерастает в физические угрозы

Утечка 2020 года никогда не скомпрометировала устройство Ledger, но она нормализовала отношение к спискам клиентов как к исходным данным для серьезных преступлений. Bitdefender отметил письма с вымогательством, использующие утечку адресов для угрозы вторжений в дома. Ledger закрыл 171 фишинговый сайт в первые два месяца.

Отчеты документируют эскалацию физических грабежей, вторжений в дома и похищений, направленных на извлечение приватных ключей во Франции, Соединенных Штатах, Соединенном Королевстве и Канаде.

Один французский инцидент включал похищение в январе 2025 года соучредителя Ledger Дэвида Балланда и его партнера, во время которого злоумышленники отрезали палец, требуя выкуп.

Предыдущие утечки Ledger спровоцировали атаки с применением силы, причем отчеты утверждают, что всплеск насильственных атак на руководителей криптовалютных компаний коррелирует с утечками в Ledger, Kroll и Coinbase, которые раскрыли данные пользователей с высоким уровнем благосостояния.

Преступники сшивают вместе утечку баз данных с публичными записями, чтобы профилировать и определять местонахождение целей.

TRM Labs подтверждает механизм: личная информация, собранная онлайн, такая как адреса и семейные данные, упростила профилирование жертв для вторжений в дома, даже когда технология кошельков остается нескомпрометированной.

Правоохранительные органы теперь рассматривают утечки PII, специфичные для криптовалют, как ингредиенты насильственного вымогательства.

Как справиться с проблемой экосистемы

Ledger не одинок. Когда Kroll был взломан в августе 2023 года, были получены данные кредиторов FTX, BlockFi и Genesis.

Иски утверждают, что неправильное обращение привело к ежедневным фишинговым письмам, подделывающим порталы требований.

Паттерн последовательный: сторонние поставщики хранят "неконфиденциальные" данные, которые становятся конфиденциальными, когда привязываются к владению криптоактивами. Адрес доставки является метаданными до тех пор, пока не привязан к заказу аппаратного кошелька.

Коммерческий уровень, состоящий из торговых платформ, CRM и интеграций доставки, создает карты того, кто чем владеет и где их найти.

Совет Ledger разумен: проверяйте домены, игнорируйте срочность, никогда не делитесь своим мнемоническим словом. Тем не менее, исследователи безопасности предлагают расширить это.

Пользователи с ценными активами должны рассмотреть возможность включения дополнительной функции парольной фразы, 25-го слова, которое существует только в памяти. Кроме того, пользователи должны периодически менять свою контактную информацию, использовать уникальные адреса электронная почта для покупок кошельков и отслеживать попытки подмены SIM-карты.

Раскрытие адреса несет оффлайн-риск. Минимизация доставки, такая как пересылка почты, бизнес-адреса и пункты самовывоза, снижает поверхность для физического принуждения. Атаки с применением силы остаются статистически редкими, но представляют собой реальную и растущую угрозу.

Инцидент Global-e поднимает вопросы без ответов: сколько клиентов было затронуто? К каким конкретным полям был получен доступ? Были ли скомпрометированы другие клиенты Global-e? Какие журналы отслеживают движение злоумышленника?

Криптовалютная индустрия должна переосмыслить риски своей коммерческой инфраструктуры. Если самостоятельное хранение устраняет доверенные третьи стороны из контроля активов, передача данных клиентов платформам электронной коммерции и платежным процессорам создает эксплуатируемые карты целей.

Аппаратный кошелек может быть крепостью, но бизнес-операции создают постоянные уязвимости.

Утечка Global-e не взломает ни одно устройство Ledger. Ей это не нужно. Она предоставила злоумышленникам свежий список имен, адресов и подтверждений покупки, что является всем необходимым для запуска фишинговых кампаний, которые будут работать годами и, в редких случаях, позволят совершать преступления, не требующие обхода шифрования.

Настоящая уязвимость - это не защищенный элемент. Это бумажный след, ведущий к дверям пользователей.

Пост Новая утечка Ledger не украла вашу криптовалюту, но раскрыла информацию, которая ведет насильственных преступников к вашей двери впервые появился на CryptoSlate.