Jump to content

Empfohlene Beiträge

vor 5 Minuten schrieb ChillBit:

Da isser wieder, der "Krypto-Kindergarten". Mega vertrauenswürdig, wenn derartige Sicherheitslücken ausgerechnet beim marktführenden Hersteller von Kryptoaufbewahrungs-Produkten passieren...ohne Worte 😉

Bald kommt Post vom Weihnachtsmann 😉

 

Ich kann mir nicht so recht glauben, dass dies so ganz unbeabsichtigt passiert ist.
Ledger kann jetzt sagen, wir hätten nie Daten raus gegeben, aber op's, sie sind mir geklaut worden.

Wie auch immer, muss man die Sache nun nüchtern analysieren und entsprechende Schlüsse ziehen.

An alle Mitleser mit den Wissen-Status "interessiert". Dadurch ist nicht der Seed in Gefahr. (Sollte jedenfalls nicht, wenn da nicht noch ein dickes Ei lauert... Ich sag nur RND.)

Problem sind die persönlichen Daten einschließlich der Adresse. Heißt, XYZ kann Dich bei Nacht besuchen kommen und den Nano plus Passwort aus Dir rausprügeln. Sehr unerfreulich.😡

Da man in der Ledger Software den Extended Public Key preis gegeben hat, kann man davon ausgehen, dass im schlechtesten Fall XYZ auch die einzelnen Wallet durchsieht und über das Guthaben informiert ist.

Es muss also schleunigst Privatsphäre her!

Hier muss erst mal entsprechen Brainstorming gemacht werden.

Ach so, Ledger verschickt entsprechende Emails. Auch wenn der Inhalt ...la-la... ist,
"haben wir die CNIL - die französische Datenschutzbehörde - über diesen Datenschutzverstoß informiert" ...
"Wir sind derzeit dabei, bei der französischen Staatsanwaltschaft eine Beschwerde wegen des nicht autorisierten Zugangs einzureichen, und wir werden die Ermittlungen der Strafverfolgungsbehörden unterstützen."...

Das können sie sich alles in die Haare schmieren. Das löst nicht ein Problem jetzt!

Wer also solch ein Email bekommen hat, ist Betroffener. Selbst ich, wo der Kauf Jahre her war. Was mal wieder zeigt, Daten die einmal raus sind, sind "verbrannt" und nicht mehr rückholbar.

Axiom

  • Like 5
  • Up 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hab 3 ledger und nur 1 in Gebrauch wobei da nur knapp 1000€ drauf sind. Der Rest liegt auf ner Börse... ja ja „not your keys not your coins“ aber egal wie man es macht ist es nix. Werde jetzt mal einen Trezor bestellen und mal schauen wie die so sind.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 28 Minuten schrieb fjvbit:

ich verstehe es nicht, was soll es bringen, den Ledger zurück zu geben?

Naja. Die kohle, auch wenns nicht viel ist...

Wie gesagt, hatte ich den bestellt um die kryptos sicher zu verwahren. Dass man zum zurücksetzen des Teils 24 Wörter vergeben und natürlich auch aufschreiben sollte  führt das ganze Teil ad absurdum. Dann kann ich mir ja gleich ne paperwallet erstellen.

Oder steh ich da auf dem Schlauch?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gerade eben schrieb Pappnase:

Naja. Die kohle, auch wenns nicht viel ist...

Wie gesagt, hatte ich den bestellt um die kryptos sicher zu verwahren. Dass man zum zurücksetzen des Teils 24 Wörter vergeben und natürlich auch aufschreiben sollte  führt das ganze Teil ad absurdum. Dann kann ich mir ja gleich ne paperwallet erstellen.

Oder steh ich da auf dem Schlauch?

ja, du stehst auf dem Schlauch....

Der Seed ist im Prinzip die Paperwallet.

Die Sicherheit beim Ledger ist NICHT beeinträchtigt. Deine privvate Adresse ist nun vielleicht sowieso bekannt, wenn sie geklaut wurde. Das zurückschicken bzw. der Austausch gegen eine andere Wallet bringt gar nichts... Sie bleibt bekannt...

Hast du die Hardware Wallet mal ausprobiert?

Das Prinzip ist, der private key, verlässt niemals das Gerät. D.h. er kann auch nicht von einem Trojaner mitgeschnitten werden. Du kannst einen Ledger Nano S auf einem total verseuchten PC nutzen, es können trotzdem keine Coins geklaut werden, wenn du aufpasst und sorgfältig bist.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 49 Minuten schrieb Pappnase:

Ich hab die jetzt mal bezüglich der Adressen angeschrieben.

Zeitgleich hab ich auch gefragt ob ich das teil zurückgeben kann.

Ganz schöner mist sowas....

Der Hack soll am 25. Juni bereits gewesen sein. Wenn du danach erst bestellt hat, wärest du vielleicht garnicht dabei. Die Sicherheitslücke bestand aber weiterhin. Also sicher ist da leider garnichts.

Der Schaden ist eigentlich der: Die 9500 (oder vielleicht noch mehr) müssen jetzt Angst haben, dass Nachts ein paar nette Herren mit Werkzeug an der Tür klopfen. Da spielt es auch keine Rolle, ob du deine Ledger zurückschickst. Die Daten "Herr soundso aus soundso hat einen Ledger gekauft, wohl also auch Kryptos" macht jetzt die Runde bis es einen findet, der die Reise zu besagter Haustür auf sich nimmt. Und der will die Keys/Wörter oder sonstwas dann vielleicht erpressen - notfalls mit Gewalt. DAS ist der Schaden an der ganzen Sache.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

......weiss man denn, ob nur die 9500 betroffenen die ledger mail heute bekommen haben oder ob jeder ledger käufer angeschrieben wurde...

fairerweise müsste ledger die 9500 geleakten kunden separat nochmal anschreiben.....

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gerade eben schrieb kazzumoto:

......weiss man denn, ob nur die 9500 betroffenen die ledger mail heute bekommen haben oder ob jeder ledger käufer angeschrieben wurde...

fairerweise müsste ledger die 9500 geleakten kunden separat nochmal anschreiben.....

Die 9500 sollen heute 5 Uhr CET angeschrieben worden sein. Allerdings müssten auch die 1 Mio sonstige betroffenen, bei denen es angeblich nur die Mail war, in irgendeiner Weise eine Information erhalten. Ledger hält sich da bedeckt und spricht immer nur von den 9500.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 46 Minuten schrieb TomsArt:

nunja, das Jahr zuvor fiel der € gegenüber $ um über 10%... jetzt ist es halt wieder ausgeglichen

Ja... schon. Aber so gefühlsmäßig meint man (ich) ja immer, bei ein oder zwei Promille hoch oder runter: da tut sich nicht viel. Immerhin wird der Kurs bei NTV mit 4 Kommastellen angezeigt, damit man einen Unterschied sieht...
Aber wenn man dann mal reale Zahlen zum Vergleich hat ist der Unterschied in 5 Monaten doch recht drastisch.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 31 Minuten schrieb Krypto-Patty:

Hab 3 ledger und nur 1 in Gebrauch wobei da nur knapp 1000€ drauf sind. Der Rest liegt auf ner Börse... ja ja „not your keys not your coins“ aber egal wie man es macht ist es nix. Werde jetzt mal einen Trezor bestellen und mal schauen wie die so sind.

Das löst beides nicht das Problem, weil von den wenigen Prozent in Deutschland, die Bitcoin haben, sind nun die Adressen bekannt und können "besucht werden".

Und wenn man dann schon mal da ist, kann ich mir vorstellen, mit entsprechender grober Argumentation, bist Du auch "spontan bereit" die Bitcoin von der Börse zu holen oder den neuen Trezor inklusive PIN zu übergeben.

Das Problem, auf Deiner Haustür ist jetzt ein Kreuz. Ob Du nun Möbel umstellst interessiert da weniger. 😞

Axiom

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 31 Minuten schrieb Axiom0815:

Ach so, Ledger verschickt entsprechende Emails.

Es gibt eine Email (von heute Morgen um 9.18h) an alle Kunden.

Dort ist u.a. ein leider nicht näher definiertes "subset of customers" erwähnt, von denen noch mehr Daten als "nur" Email-Adresse und Daten des Kaufs betroffen sind.

Wer bis jetzt keine zweite Email mit weiteren Infos hat, gehört nicht zu dem besagten "subset".

ABER: Wer Hardware-wallets vertreibt, aber seine Kundendaten nicht hinreichend schützt, dem glaube ich erst mal nichts mehr. Ledger hat im Übrigen nun nicht nur ein Imageproblem, sondern auch ein juristisches...

Ich würde keinen ledger zurückschicken. Geringen Betrag darauf belassen, um für den Fall der Fälle dem Gangster was anbieten zu können. Sollte natürlich nicht nur ein Satoshi sein - jdf. nicht vorm übernächsten Bullrun.😉

Den Rest muss man nun anders aufbewahren. Ich werde jdf keinen ledger mehr kaufen. Beim Wettbewerber Trezor könnte Ähnliches passieren.

Wie also nun aufbewahren, was bislang auf dem ledger war?🤔🤔🤔

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

jo, hab auch nur die mail von 9.18 uhr heute morgen.....

dann hilft nur noch beten.....und sicherheitshalber einen dicken knüppel unterm bett...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Minuten schrieb Agoken:

Es gibt eine Email (von heute Morgen um 9.18h) an alle Kunden.

Dort ist u.a. ein leider nicht näher definiertes "subset of customers" erwähnt, von denen noch mehr Daten als "nur" Email-Adresse und Daten des Kaufs betroffen sind.

Wer bis jetzt keine zweite Email mit weiteren Infos hat, gehört nicht zu dem besagten "subset".

ABER: Wer Hardware-wallets vertreibt, aber seine Kundendaten nicht hinreichend schützt, dem glaube ich erst mal nichts mehr. Ledger hat im Übrigen nun nicht nur ein Imageproblem, sondern auch ein juristisches...

Ich würde keinen ledger zurückschicken. Geringen Betrag darauf belassen, um für den Fall der Fälle dem Gangster was anbieten zu können. Sollte natürlich nicht nur ein Satoshi sein - jdf. nicht vorm übernächsten Bullrun.😉

Den Rest muss man nun anders aufbewahren. Ich werde jdf keinen ledger mehr kaufen. Beim Wettbewerber Trezor könnte Ähnliches passieren.

Wie also nun aufbewahren, was bislang auf dem ledger war?🤔🤔🤔

Ich habe eine um 9:20 oder so bekommen. 
Danach kam noch eine zweite? Was stand da drin?

Ich schau mal gleich im Spam-Ordner....

Axiom

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 6 Minuten schrieb Agoken:

Wie also nun aufbewahren, was bislang auf dem ledger war?🤔🤔🤔

Verkaufen! 😉

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb kazzumoto:

dann hilft nur noch beten.....und sicherheitshalber einen dicken knüppel unterm bett...

kannst als Gegenargument den Ledger in die C4 Knete stopfen

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 14 Minuten schrieb kazzumoto:

......weiss man denn, ob nur die 9500 betroffenen die ledger mail heute bekommen haben oder ob jeder ledger käufer angeschrieben wurde...

fairerweise müsste ledger die 9500 geleakten kunden separat nochmal anschreiben.....

ledger hat ALLE Kunden angeschrieben:

we have decided to inform all of our customers about this situation 

steht auf der homepage, die wo die Adressen mit geklaut wurden sollten schnellsten darüber informiert werden!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb Axiom0815:

Ich habe eine um 9:20 oder so bekommen. 
Danach kam noch eine zweite? Was stand da drin?

Ich schau mal gleich im Spam-Ordner....

Axiom

Ich habe selbst auch keine zweite Email erhalten. Aus der ersten ergibt sich aber, dass das betroffene "subset" an Kunden nochmal gesondert angeschrieben werde.

Über twitter ist zu lesen, dass das "nur" 9500 Kunden seien.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 18 Minuten schrieb Morama:

Der Hack soll am 25. Juni bereits gewesen sein. Wenn du danach erst bestellt hat, wärest du vielleicht garnicht dabei. Die Sicherheitslücke bestand aber weiterhin. Also sicher ist da leider garnichts.

Der Schaden ist eigentlich der: Die 9500 (oder vielleicht noch mehr) müssen jetzt Angst haben, dass Nachts ein paar nette Herren mit Werkzeug an der Tür klopfen. Da spielt es auch keine Rolle, ob du deine Ledger zurückschickst. Die Daten "Herr soundso aus soundso hat einen Ledger gekauft, wohl also auch Kryptos" macht jetzt die Runde bis es einen findet, der die Reise zu besagter Haustür auf sich nimmt. Und der will die Keys/Wörter oder sonstwas dann vielleicht erpressen - notfalls mit Gewalt. DAS ist der Schaden an der ganzen Sache.

Das genau diese Szenario das Problem ist, ist mir schon klar. Ein zurückschicken des Ledgers löst diese Problem nicht.

Ich habe bloß keine Lust mehr das Teil jetzt noch zu verwenden. Und wenn ich es nicht mehr benutzen will, dann kann ich es ja auch zurückschicken. Obwohl es vielleicht doch ne gute Idee wäre ein bisschen was drauf zu packen. Falls der Schlägertrupp einrückt...

Wie oben schon beschrieben, hab ich das Teil noch gar nicht aktiviert...

 

Um nochmal auf die Funktionalität zurück zu kommen: Alleine mit den Schlüsselwörtern kann man also nichts anfangen? Ich geb zu  ich habe mich mit dieser Materie zu wenig befasst...

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gerade eben schrieb TomsArt:

kannst als Gegenargument den Ledger in die C4 Knete stopfen

Wer macht den sowas noch. Viel zu lauter Rumms und man bekommt vielleicht noch was ab.

Kontaktgift! Ich knobel noch ob mit sofortiger Wirkung oder 72 Stunden verzögert.

Axiom

Hinweis: In diesen Posting könnten Ironie und Sarkasmus enthalten sein. Niemals die Gesundheit eines anderen gefährden!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Minuten schrieb kater:

Verkaufen! 😉

Solle dirrrrr sagge, was letzde Preis iss?😂

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Geschrieben (bearbeitet)
vor 3 Minuten schrieb leblitzdick:

ledger hat ALLE Kunden angeschrieben:

we have decided to inform all of our customers about this situation 

dazu sind sie laut DSGVO verpflichtet, sonst drohlt Strafe von 2-4% des Umsatzes

bearbeitet von TomsArt

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Boah ihr habt echt zu viele Gangsterfilme gesehen Leutz... gute Nacht ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gerade eben schrieb TomsArt:

DSDVO

Was soll das sein? Datenschutz-Diebstahlverordnung? :D

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 44 Minuten schrieb Axiom0815:

Problem sind die persönlichen Daten einschließlich der Adresse. Heißt, XYZ kann Dich bei Nacht besuchen kommen und den Nano plus Passwort aus Dir rausprügeln. Sehr unerfreulich.😡

vor 12 Minuten schrieb Morama:

Die 9500 (oder vielleicht noch mehr) müssen jetzt Angst haben, dass Nachts ein paar nette Herren mit Werkzeug an der Tür klopfen.

Sorry, aber diese "Gefahr" halte ich für marginal. 
Das ist doch völlig unrealistisch! Mit der gleichen Berechtigung könnte ich mir dann auch in die Hose machen, dass jemand kommt und meine Kreditkarten-Pins, Onlinebanking Kram,  Tresor-Pin, Handy-Pin für den Google-Authenticator, Stelle im Garten wo mein Gold liegt, usw aus mir oder jedem anderen rausprügelt. Da brauch ich als Mr. XYZ doch keine Adresse von Ledger! Da kann ich in fast jedes Haus in einem relativ soliden Gebiet gehen und es gäbe reichlich zu holen.
Und warum kommt das nicht täglich tausend mal vor? Weil das ein ganz beschissenes Chance-Risiko-Verhältnis für den Verbrecher wäre!

  • Thanks 4
  • Like 5

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Minute schrieb Philbert:

Sorry, aber diese "Gefahr" halte ich für marginal. 
Das ist doch völlig unrealistisch! Mit der gleichen Berechtigung könnte ich mir dann auch in die Hose machen, dass jemand kommt und meine Kreditkarten-Pins, Onlinebanking Kram,  Tresor-Pin, Handy-Pin für den Google-Authenticator, Stelle im Garten wo mein Gold liegt, usw aus mir oder jedem anderen rausprügelt.

Endlich!!! Danke 👍

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Geschrieben (bearbeitet)
vor 13 Minuten schrieb Fantasy:

Boah ihr habt echt zu viele Gangsterfilme gesehen Leutz... gute Nacht ;)

Nimm die Fernbedienung mit ins Bett. Falls dann in der Nacht Deine Tür aufgebrochen wird, kann Du schnell das Programm wechseln. 😉

Axiom

 

bearbeitet von Axiom0815

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.


×
×
  • Neu erstellen...

Wichtige Information

Wir speichern Cookies auf Ihrem Gerät, um diese Seite besser zu machen. Sie können Ihre Cookie-Einstellungen anpassen, ansonsten gehen wir davon aus, dass Sie damit einverstanden sind. In unseren Datenschutzerklärungen finden sie weitere Informationen.