Zum Inhalt springen

Ledger Warnung vor möglichem Datendiebstahl 29.07.20

kater
 Teilen

Empfohlene Beiträge

kater

kater

Geschrieben
  • Autor
Geschrieben
vor 5 Stunden schrieb kazzumoto:

ich habe diese mail auch bekommen.

der hack war schon mitte juli.

einige privatadressen wurden ergaunert, somit weiß jemand wo ein ledger zu hause liegt....

das verunsichert mich schon etwas.....

Es ist eine Sicherheitslücke und ein möglicher Datendiebstahl bekannt geworden. Ob diese tatsächlich genutzt wurde ist offensichtlich nicht bekannt. Weil auch E-Mail Adressen betroffen sind, macht es aus Sicht von Ledger Sinn, frühzeitig auf diesen möglichen Datendiebstahl hinzuweisen! Was passieren könnte ist daß du per Mail aufgefordert wirst deinen Seed anzugeben!

Deshalb: Lasst euch nicht euren Seed aus der Nase ziehen!!

Sollten mehr Daten (z.B. Postadresse) in falsche Hände geraten sein, kann man das Ganze natürlich  paranoid weiter stricken und einige Szenarien kreieren....🤷‍♂️

Link zu diesem Kommentar
Auf anderen Seiten teilen
RoHaLu

RoHaLu

Geschrieben
Geschrieben

Was mir noch nicht klar ist:

die 1.Mail gestern früh bekommen; vermutlich als Kunde von Ledger (1M)

eine 2.Mail habe ich nicht bekommen bis heute; sind denn die angekündigten 2ten mails draußen vom subset der 9500?

Link zu diesem Kommentar
Auf anderen Seiten teilen
Flir

Flir

Geschrieben
Geschrieben
vor 4 Minuten schrieb RoHaLu:

Was mir noch nicht klar ist:

die 1.Mail gestern früh bekommen; vermutlich als Kunde von Ledger (1M)

eine 2.Mail habe ich nicht bekommen bis heute; sind denn die angekündigten 2ten mails draußen vom subset der 9500?

Die Leute, die keine zweite Mail bekommen haben (und ja, laut Ledger sind die gestern Nachmittag an alle Betroffenen verschickt worden) beschweren sich gerade auf Twitter, dass sie von Ledger auch gerne eine Mail bekommen wollen, dass sie eben nicht betroffen sind. Anzunehmen ist, dass bei Kauf eines Ledgers über deren Seite, die angegebene Mailadresse beim Hack geleakt wurde... Mir eh latte, geb für so Bestellungen immer nur eine "Spamadresse" an.

Link zu diesem Kommentar
Auf anderen Seiten teilen
kater

kater

Geschrieben
  • Autor
Geschrieben
vor 32 Minuten schrieb Flir:

Die Leute, die keine zweite Mail bekommen haben (und ja, laut Ledger sind die gestern Nachmittag an alle Betroffenen verschickt worden) beschweren sich gerade auf Twitter, dass sie von Ledger auch gerne eine Mail bekommen wollen, dass sie eben nicht betroffen sind. Anzunehmen ist, dass bei Kauf eines Ledgers über deren Seite, die angegebene Mailadresse beim Hack geleakt wurde... Mir eh latte, geb für so Bestellungen immer nur eine "Spamadresse" an.

Ledger kommuniziert allle 9.500 betroffenen sind in einer 2. Mail darüber zu informieren. Jetzt beschweren sich die die nicht betroffen sind daß sie KEINE Mail bekommen und wollen auch eine Mail haben um zu erfahren daß sie NICHT betroffen sind? Klingt echt doof! 🥴

Wie schon gesagt man kann das Ganze auch paranoid weiter stricken....

  • Haha 2
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
kazzumoto

kazzumoto

Geschrieben
Geschrieben

.....ja, man kann das paranoid weiterstricken......

wenn jetzt manche leute wollen, dass ledger ihnen eine mail schickt und bestätigt, dass sie nicht betroffen sind, dann könnten sie die firma ledger evtl haftbar machen, wenn in 2 wochen einer vor der tür steht ,eine knarre an den kopf hält und sagt " hey, ich weiss genau, dass du einen ledger hast, also her mit der passphrase".......

...da müsste man jetzt mal die juristen im forum befragen.....

Link zu diesem Kommentar
Auf anderen Seiten teilen
kater

kater

Geschrieben
  • Autor
Geschrieben
vor 14 Minuten schrieb kazzumoto:

.....ja, man kann das paranoid weiterstricken......

wenn jetzt manche leute wollen, dass ledger ihnen eine mail schickt und bestätigt, dass sie nicht betroffen sind, dann könnten sie die firma ledger evtl haftbar machen, wenn in 2 wochen einer vor der tür steht ,eine knarre an den kopf hält und sagt " hey, ich weiss genau, dass du einen ledger hast, also her mit der passphrase".......

...da müsste man jetzt mal die juristen im forum befragen.....

Ich habe vor kurzem errst gelesen daß die Deutsche im Schnitt 1.000 Euro Bargeld im Haus bunkern. Dann gibts noch Schmuck oder Kreditkarten. Ich kann mich also vor jede Tür stellen, jemandem eine Knarre an den Kopf halten und etwas fordern. Das ganz auch ganz simpel die KK plus PIN sein und eben kein Ledger plus Seed. Also locker bleiben!

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
kazzumoto

kazzumoto

Geschrieben
Geschrieben

.....ich bekomme seit ca 2 wochen solche mails....

. z. b.   :   biiitcoiin reevolution.....

oder so ähnlich, manche buchstaben immer doppelt und dreifach....

die mails erhalte ich erst, seit der hack bekannt ist. und ich habe von ledger keine mail bekommen, dass ich von dem hack betroffen wäre...

Link zu diesem Kommentar
Auf anderen Seiten teilen
  • 3 Wochen später...
Gärtner

Gärtner

Geschrieben
Geschrieben

Hi nochmal in Sachen Mail-Adresse, Kundendaten. Heute habe ich folgende Mail bekommen:

The amount of 0.42862868 BTC has been deposited to your Bitcoin address 12gW3KWUvvLMvkkxPY8csnVRuPDG1eeY4W : Transaction hash: 599216b69d2f07b3ac0c11c3c9a3ad4286d50bbcc0d34ff33862a955528bab2a Memo: API Payment. Withdraw to Ferguson7 from CoinsFund . net Date: 14:33 27.08.2020. Your account here: coinsfund.net/client/PM10390

Kennt jemand COINSFUND.NET mit Adresse in London "virtuelle Büros" tut jetzt ned` weh - ob das mit Ledger zu tun hat kann ich natürlich ned` sagen.

Ich kenne kein COINSFUND.NET habe dort auch kein "Konto" und habe auch keine 0,42862868 BTC um diese von wo auch immer nach wohin auch immer zu "withdrawen".

Vorsicht: Nepper, Schlepper, Bauernfänger lauern überall 🖕

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
  • 1 Monat später...
kater

kater

Geschrieben
  • Autor
Geschrieben

Guten Morgen,

 

ich habe heute Morgen eine E-Mail von info@ledgersupport.io erhalten, in der ich aufgefordert werde ein Update meiner Ledger Live Software und eine Änderung meiner PIN vorzunehmen. Das Bemerkenswerte daran ist daß diese Mail NICHT an meine bei Ledger.com bekannten Mailadresse, mit der ich dort den Ledger gekauft habe ging.

Das ist ein Sachverhalt der sehr bedenklich ist. Ledger kommt für mich in Zukunft nicht mehr zur Sicherung meiner Coins in Frage!

 

Link zu diesem Kommentar
Auf anderen Seiten teilen
koiram

koiram

Geschrieben
Geschrieben
vor 5 Stunden schrieb kater:

...ich habe heute Morgen eine E-Mail von info@ledgersupport.io erhalten...

Ledger kommt für mich in Zukunft nicht mehr zur Sicherung meiner Coins in Frage!

https://www.publish0x.com/djcrypto/beware-of-an-email-by-info-at-ledgersupportio-talking-about-xrovyjm

Zitat

Beware of an email by info@ledgersupport.io talking about a security breach for Ledger devices ! This is likely fake and a scam.

Ich halte Cold-Wallets wie Ledger und/oder Trezor für größere Mengen Bitcoin trotzdem für eine komfortable und sichere Aufbewahrungsmöglichkeit, da der Seed und Private-Key nicht auf den Online-PC kommt sondern auf denm Stick bleibt.

  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast

Gast

Geschrieben
Geschrieben
vor 5 Stunden schrieb fox42:

Ledger Live erstmal in Ruhe zu lassen.

Am Rande: Ledger Live ist für ETH und ERC20-Token nicht zwingend notwenig. Geht problemlos mit MEW. Nur als kleine Info. Unterm Strich genügt ein cleaner PC und Browser (Chrome oder Firefox).

Link zu diesem Kommentar
Auf anderen Seiten teilen
kater

kater

Geschrieben
  • Autor
Geschrieben
vor 4 Stunden schrieb koiram:

https://www.publish0x.com/djcrypto/beware-of-an-email-by-info-at-ledgersupportio-talking-about-xrovyjm

Ich halte Cold-Wallets wie Ledger und/oder Trezor für größere Mengen Bitcoin trotzdem für eine komfortable und sichere Aufbewahrungsmöglichkeit, da der Seed und Private-Key nicht auf den Online-PC kommt sondern auf denm Stick bleibt.

Das Problem sehe ich auch nicht im Handling und der Sicherheit des Ledgers. Das Problem sehe ich darin daß die Kundendaten mit der Mailadresse gehackt wurden, ich aber nicht wie erwartet auf der ergatterten Mailadresse angeschrieben werde, sondern auf einer völlig anderen. Vielleicht ist das auch "nur" ein blinder Phishing-Schuss von irgendwo. Ich bin aber doch besorgt. Das habe ich so nicht erwartet...

Link zu diesem Kommentar
Auf anderen Seiten teilen
Philbert

Philbert

Geschrieben
Geschrieben
vor 10 Stunden schrieb kater:

Das Bemerkenswerte daran ist daß diese Mail NICHT an meine bei Ledger.com bekannten Mailadresse, mit der ich dort den Ledger gekauft habe ging.

Naja, da würde ich mal fast vermuten, dass in dem Fall Ledger da gar nichts mit zu tun hat. Könnte ja sein, dass irgendeine andere Webseite, bei der du dich angemeldet hast und die irgendwas mit Kryptos zu tun hat, diese Email-Adresse geleakt hat.

 

vor 11 Stunden schrieb Axiom0815:

Ich nutze Ledger-Live in übrigen überhaupt nicht

Ich zieh dein Zitat mal hier her....
Wie machst du denn die Ledger Firmware Updates? Oder machst du gar keine?

-----------------------------------------------------------

Ich hab vor 3 Tagen ein Firmwareupdate auf 1.6.1 gemacht.... über Ledger Live. Ich hab auch keine andere Möglichkeit gefunden das anderweitig zu erledigen.
Naja, man kann während dem Prozess eine ID im Live mit einer ID die der Ledger zeigt überprüfen. So richtig überzeugend ist das alles nicht, finde ich.
Es blieb ein mulmiges Gefühl.

Heute hatte Live ein Update auf 2.14 angeboten. Man kann auf Update klicken und dann wird "irgendwas" runtergeladen und installiert. Keinerlei Möglichkeiten die Authentizität zu überprüfen. Hatte vorher nochmal auf der Webseite geguckt... ich hätte die neue Version auch da runterladen können. Aber ich hab auch da keinen MD5 Hash oder sonst was gefunden um die Installationsdatei nach den Download zu überprüfen.

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Axiom0815

Axiom0815

Geschrieben
Geschrieben (bearbeitet)
vor 24 Minuten schrieb Philbert:

Naja, da würde ich mal fast vermuten, dass in dem Fall Ledger da gar nichts mit zu tun hat. Könnte ja sein, dass irgendeine andere Webseite, bei der du dich angemeldet hast und die irgendwas mit Kryptos zu tun hat, diese Email-Adresse geleakt hat.

 

Ich zieh dein Zitat mal hier her....
Wie machst du denn die Ledger Firmware Updates? Oder machst du gar keine?

-----------------------------------------------------------

Ich hab vor 3 Tagen ein Firmwareupdate auf 1.6.1 gemacht.... über Ledger Live. Ich hab auch keine andere Möglichkeit gefunden das anderweitig zu erledigen.
Naja, man kann während dem Prozess eine ID im Live mit einer ID die der Ledger zeigt überprüfen. So richtig überzeugend ist das alles nicht, finde ich.
Es blieb ein mulmiges Gefühl.

Heute hatte Live ein Update auf 2.14 angeboten. Man kann auf Update klicken und dann wird "irgendwas" runtergeladen und installiert. Keinerlei Möglichkeiten die Authentizität zu überprüfen. Hatte vorher nochmal auf der Webseite geguckt... ich hätte die neue Version auch da runterladen können. Aber ich hab auch da keinen MD5 Hash oder sonst was gefunden um die Installationsdatei nach den Download zu überprüfen.

Wenn ich ein Update machen sollte, stelle ich mir die erste Frage, warum soll ich das Update machen? Was bringt es mir, was ich unbedingt brauche?

(Das auch ein komplett hardwaremäßig getrenntes Testsystem haben kann erläutere ich hier jetzt mal nicht. )

Schon mit eines der letzten Updates, wo viel versprochen wurde, unter anderen mehr Platz für weitere Apps, hatte ich "Bauchschmerzen". Platz kam nicht mehr dazu, aber viel mehr Programmcode der unerläutet mit "geliefert" wurde.

Nun ist mein Verständnis, wenn sich der Programmcode vergrößert, sollen auch die Programmfunktionen erweitert werden. Passiert das nicht, wächst bei mir der Verdacht, dass es Funktionserweiterungen sind, die man geheim hält. Und die will ich wahrscheinlich gar nicht haben.

Wer weiß, welche Auflagen mit der "Keule Terrorabwehr" usw. da durchgedrückt wurden. Erfahrungen haben gezeigt,  was sich erst ein "wenig paranoid anhört", später doch richtig waren.

Aber das kann jeder halten wie er will.

Wenn ich ein Update machen sollte, dann vorher mit 3x falscher PIN Seed löschen und mit "jungfräulichen" Nano updaten.

Sonst gilt ein Mal offline, immer offline! Nicht, ach ne, muss mal hier ein Update einspielen...

Axiom

Bearbeitet von Axiom0815
  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
Philbert

Philbert

Geschrieben
Geschrieben
vor 3 Minuten schrieb Axiom0815:

Wenn ich ein Update machen sollte, dann vorher mit 3x falscher PIN Seed löschen und mit "jungfräulichen" Nano updaten.

weil der Nano während des online Firmwareupdates dann keine Möglichkeit hätte, irgendwie den privaten Key zu verschicken? Oder was ist der Hintergrund?

Ok, aber angenommen, das Firmwareupdate wäre irgendwie kompromittiert, weil beispielsweise der Download über Live umgeleitet wurde. Dann hättest du einen jungfräulichen Nano mit einer faulen Firmware. Und weiter angenommen, dass sich der Nano ansonsten "normal" verhält. 
Dann würdest du deinen Seed zurückspielen oder den Ledger mit einem neuen Seed initialisieren und deine Coins transferieren. Bei der nächsten Transaktion könnte dann "sonstwas" passieren... oder denke ich hier zu paranoid? 

Vielleicht wäre es eine gute Idee, vor einem Update von Live oder der Firmware vom Ledger bei neuen Versionen grundsätzlich mal ein paar Wochen ins Land gehen zu lassen. Man muss ja nicht zu denen gehören, die potentielle neue Sicherheitsprobleme durch eigenen Schaden als erster entdecken....

Link zu diesem Kommentar
Auf anderen Seiten teilen
Axiom0815

Axiom0815

Geschrieben
Geschrieben
vor 3 Minuten schrieb Philbert:

weil der Nano während des online Firmwareupdates dann keine Möglichkeit hätte, irgendwie den privaten Key zu verschicken? Oder was ist der Hintergrund?

Ok, aber angenommen, das Firmwareupdate wäre irgendwie kompromittiert, weil beispielsweise der Download über Live umgeleitet wurde. Dann hättest du einen jungfräulichen Nano mit einer faulen Firmware. Und weiter angenommen, dass sich der Nano ansonsten "normal" verhält. 
Dann würdest du deinen Seed zurückspielen oder den Ledger mit einem neuen Seed initialisieren und deine Coins transferieren. Bei der nächsten Transaktion könnte dann "sonstwas" passieren... oder denke ich hier zu paranoid? 

Vielleicht wäre es eine gute Idee, vor einem Update von Live oder der Firmware vom Ledger bei neuen Versionen grundsätzlich mal ein paar Wochen ins Land gehen zu lassen. Man muss ja nicht zu denen gehören, die potentielle neue Sicherheitsprobleme durch eigenen Schaden als erster entdecken....

Du läßt den ganzen Teil davor weg, wo ich gerade davon spreche kein Update zu machen!

Das letzte war ein WENN...

Den richtigen Seed würde ich nie mit Ledger Live verwenden.

Wenn Du also unbedingt musst, begründe es Dir selbst WARUM es unbedingt sein muss. Ein neuer Zocker-Coin wäre für mich nicht der Grund.

Sonst ist ein längeres abwarten auch keine schlechte Idee. So können andere Testen. 

Nur bei den heutigen Vorratsdaten-Wahn könntest Du da in eine Falle tappen. Mehr will ich jetzt nicht mutmaßen. 😉

Interessiert Dich Sicherheit, informiere Dich über Mulitisignatur. Dann n:m und mit mehreren Hardwarewallets unterschiedlicher Herstellern. So streut man auch hier bei der Bitcoin Verwahrung. Und wer streut, rutscht nicht aus!

Axiom

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen
wobbler

wobbler

Geschrieben
Geschrieben
vor 2 Stunden schrieb Axiom0815:

Du läßt den ganzen Teil davor weg, wo ich gerade davon spreche kein Update zu machen!

Das letzte war ein WENN...

Den richtigen Seed würde ich nie mit Ledger Live verwenden.

Wenn Du also unbedingt musst, begründe es Dir selbst WARUM es unbedingt sein muss. Ein neuer Zocker-Coin wäre für mich nicht der Grund.

Sonst ist ein längeres abwarten auch keine schlechte Idee. So können andere Testen. 

Nur bei den heutigen Vorratsdaten-Wahn könntest Du da in eine Falle tappen. Mehr will ich jetzt nicht mutmaßen. 😉

Interessiert Dich Sicherheit, informiere Dich über Mulitisignatur. Dann n:m und mit mehreren Hardwarewallets unterschiedlicher Herstellern. So streut man auch hier bei der Bitcoin Verwahrung. Und wer streut, rutscht nicht aus!

Axiom

Irgendwie ist deine Misstrauische Art sehr ansteckend. 

Ich werde mir morgen meine steuerfreien Coins auf ein Paperwallet schieben. Mit dem Verlust der Zukaufe von einem Jahr kann ich leben.
 

Ich habe mir schon ein paar mal gedacht, wenn mit dem Ledger mal was faul sein sollte ein Bug oder ähnliches und man kann denn Privatkey exportieren oder der Zufallsgenerator produziert doch nicht so zufälligen Zufall. Dann wäre das eine bittere Angelegenheit, für die jenigen die sich im Glauben eine super sichere Wallet kaufen und am Ende erst alles weg ist(mich miteingeschlossen).

Die Ausmaße wären glaube ich enorm da Ledger doch recht verbreitet ist.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.