Ledger Warnung vor möglichem Datendiebstahl 29.07.20

[MKE]

Die S20 kann man sich jetzt auch sparen. Die Information ist jetzt "dezentralisiert". Die einzige Möglichkeit, die eigene Sicherheit wiederherzustellen ist "unbekannt verzogen".

[Trooper]

Kann man jetzt noch irgendwie nachschauen ob man betroffen ist`?

[Gast]

Wenn es stimmen sollte das die Käufer im November ebenfalls geleakt worden sind, ist das für mich ein Zeichen das Ledger intern ein Problem hat. Würde mich nicht wundern wenn dort ein Mitarbeiter die Daten rausgegeben hat. 

[Manblues]

Die Sache ist natürlich mehr als Ungut für Betroffene. Aber mal eine Frage, es drehen gerade alle durch und fürchten um ihr Leben. Aber wenn sich Kryptos durchsetzen würden oder man mit einer Krypto Karte etwas bezahlt oder irgendwann einmal in einem Onlineshop mit Kryptos etwas bezahlt weiß man das dieser Mensch Kryptos hat... Genauso viel Infos wie durch den Shop Hack. 

Meint ihr jeder ist gefährdet der öffentlich zugibt Kryptos zu besitzen? 

[koiram]

Ich stelle mir gerade folgende Fragen:

Ob das Weitersenden der Datei datenschutzrechtlich eigentlich legal ist?

Ob man die überhaupt auf dem PC speichern darf, zumindest wenn man selber nicht betroffen ist, außer wenn man in der Liste drin ist und die evtl. als Beweis für die Staatsanwaltschaft braucht?

Bearbeitet 21. Dezember 2020 von koiram

[BitcoinNow]

Ich bin betroffen. 
also bleibt die auch auf meinem PC

[koiram]

vor 10 Minuten schrieb Manblues:

Meint ihr jeder ist gefährdet der öffentlich zugibt Kryptos zu besitzen?

Nein, aber wenn man grundsätzlich bis heute versucht hat seine Privatadresse aus verschiedenen Gründen aus dem Internet so gut es geht rauszuhalten, ist das mit der Veröffentlichung der Liste zumindest ärgerlich.

[kater]

vor 18 Minuten schrieb koiram:

Ich stelle mir gerade folgende Fragen:

Ob das Weitersenden der Datei datenschutzrechtlich eigentlich legal ist?

Ob man die überhaupt auf dem PC speichern darf, zumindest wenn man selber nicht betroffen ist, außer wenn man in der Liste drin ist und die evtl. als Beweis für die Staatsanwaltschaft braucht?

Kurz und knapp: Nein!
Ich halte es auch für sinnvoll so etwas ggf. lieber hinter verschlossenen Türen zu machen, sprich PN statt offen  im Forum anbieten!

Was man auch dabei bedenken sollte: Nicht jeder der vorgibt auch ein Opfer zu sein, ist vielleicht kein Opfer sondern nur an den Daten interessiert. Deshalb würde ich diese Daten z.B. niemandem geben der hier im Forum erst seit gestern registriert ist oder den ich nicht „kenne“.

[Mr.Anderson]

vor einer Stunde schrieb MKE:

Die S20 kann man sich jetzt auch sparen. Die Information ist jetzt "dezentralisiert". Die einzige Möglichkeit, die eigene Sicherheit wiederherzustellen ist "unbekannt verzogen".

Ich würde heiraten und den Namen des Partners/ der Partnerin annehmen.

[MKE]

Dingdong! "Guten Tag, wohnt hier Aloisius Schmitz?" "Nein, mein Name ist Aloisius Huber." "Oh, dann haben wir uns wohl vertan, auf Wiedersehen!"

Ob das so funktioniert? Ich wäre mir da nicht so sicher. Und dann bist du auch noch verheiratet. Eine Lose-Lose Situation. 

[CoinIn-CoinOut]

Sagt mal ist es rein theoretisch möglich, dass die bösen Jungs die Menge der Coins über die Ledger App raus bekommen könnten?
Kombi aus E-Mail Adresse und Passwort Hack?

[Mr.Anderson]

vor 3 Minuten schrieb CoinIn-CoinOut:

Sagt mal ist es rein theoretisch möglich, dass die bösen Jungs die Menge der Coins über die Ledger App raus bekommen könnten?
Kombi aus E-Mail Adresse und Passwort Hack?

Die Hardware kommuniziert direkt mit der App/Wallet. Ohne Seed, bzw. physischen Zugriff auf das PIN gesicherte Gerät geht das nicht. Wüsste nicht wie. Bei mir zeigt die App aber den Kontostand auch an, ohne dass der ledger verbunden ist.

[Pappnase]

vor 23 Minuten schrieb MKE:

Dingdong!

Was? Schon wieder? "erst mal den Chart checken..."

 

Spaß beiseite. Ich hatte heute vormittag über den geposteten Link versucht rauszufinden, ob meine Daten auch betroffen sind. Ich habe so nix gefunden. Allerdings hab ich das übers Handy gemacht. Ich will jetzt das gleiche nochmals über den PC machen, um ein Fehler bei der Suche auszugrenzen. Der Link geht aber nicht mehr. Hat noch jemand einen funktionierenden?

 

[rushfaktor]

Gerade eben eine Mail von Ledger bekommen. Die sind wohl geschockt das es doch viel mehr komplette Adresssätze sind als die gedacht und nachgeforscht haben. Auf diese Aussage gebe ich nichts. Geleugnet haben die das.

 

[rushfaktor]

vor 51 Minuten schrieb Pappnase:

Was? Schon wieder? "erst mal den Chart checken..."

 

Spaß beiseite. Ich hatte heute vormittag über den geposteten Link versucht rauszufinden, ob meine Daten auch betroffen sind. Ich habe so nix gefunden. Allerdings hab ich das übers Handy gemacht. Ich will jetzt das gleiche nochmals über den PC machen, um ein Fehler bei der Suche auszugrenzen. Der Link geht aber nicht mehr. Hat noch jemand einen funktionierenden?

 

Geht von den Mirrors auch keiner mehr?

Edit: Wenn nichts mehr geht, ich habe die Liste hier auf dem Rechner. Schreibe mir eine PM.

Edit 2: Da jetzt schon 2 PMs kammen. Ich werde die Liste nicht hochladen. Ich weiß nicht ob noch lebende Mirrors vorhanden sind. Wer möchte, kann mir seine E-Mail per PM schicken und ich schaue im Datensatz nach. Alles andere ist mir zu heiß.

Bearbeitet 21. Dezember 2020 von rushfaktor

[HansWurst80]

vor 1 Stunde schrieb Manblues:

Die Sache ist natürlich mehr als Ungut für Betroffene. Aber mal eine Frage, es drehen gerade alle durch und fürchten um ihr Leben. Aber wenn sich Kryptos durchsetzen würden oder man mit einer Krypto Karte etwas bezahlt oder irgendwann einmal in einem Onlineshop mit Kryptos etwas bezahlt weiß man das dieser Mensch Kryptos hat... Genauso viel Infos wie durch den Shop Hack. 

Meint ihr jeder ist gefährdet der öffentlich zugibt Kryptos zu besitzen? 

Potentiell ist die Gefahr schon höher als mit EC- o. Kreditkarte, denn hier ist eben kein Institut dazwischengeschaltet. Wenn wer auch immer Dir eine ne Waffe an den Kopf hält, wirst Du die Kryptos völlig anonym und in voller Höhe übertragen. So eine Verbrecherbande wird a) kaum mit einer Bankverbindung auf den Caymans vor Dir stehen und b) wenn, dann wäre Dein Überweisungslimit immer noch begrenzt.

[Craz]

Ich lese schon lange im coinforum mit, aber der ledger Daten breach hat mich jetzt endlich mal dazu gebracht, mich anzumelden.

Auch ich bin auf der geleakten List drauf und habe damals von Ledger auch nur die erste email bekommen. Wahrscheinlich wussten die wirklich nur von den 9500 geleakten Adressen... was wirklich nicht für sie spricht 🙄.

Da ich inzwischen sowieso umgezogen bin, habe ich definitiv keine Angst, dass jemand vor meiner Tür steht. Kann ich allen nur empfehlen 😉. Aber mein Name ist jetzt nicht gerade Michael Müller... und das jetzt jeder Honk die List hat, stört mich fast noch mehr als wenn es nur ein paar ausgewählte Kriminelle sind...

[Manblues]

vor 6 Minuten schrieb HansWurst80:

Potentiell ist die Gefahr schon höher als mit EC- o. Kreditkarte, denn hier ist eben kein Institut dazwischengeschaltet. Wenn wer auch immer Dir eine ne Waffe an den Kopf hält, wirst Du die Kryptos völlig anonym und in voller Höhe übertragen. So eine Verbrecherbande wird a) kaum mit einer Bankverbindung auf den Caymans vor Dir stehen und b) wenn, dann wäre Dein Überweisungslimit immer noch begrenzt.

Ja aber woher wollen die wissen dass nun nicht alle ihre Ledger zerstören und auf andere Weise schützen oder im Bankschließfach oder oder oder... 

Die Strafe bei Home Invasion ist schon etwas höhere sodass Kosten/Nutzen auch abgeschätzt wird, denke ich. 

"Hand abgehakt, 3-5 Jahre Gefängnis... Was wurde erbeutet? Nichts weil das Opfer schon auf eine Spam mail reingefallen ist" 

[Pappnase]

vor 4 Minuten schrieb rushfaktor:

Geht von den Mirrors auch keiner mehr?

Edit: Wenn nichts mehr geht, ich habe die Liste hier auf dem Rechner. Schreibe mir eine PM.

Von diesem Link

https://pastebin.com/pBED4Pe5

kann ich wohl nichts mehr einsehen.

Ich hatte mir jedoch, wie gesagt, die Dateien heute morgen auf das Handy gezogen. Diese Dateien funktionieren auch noch. Ich habe die mir jetzt auf den Rechner gezogen und nochmals gesucht.

Fakt ist wohl (bei mir): Die Adresse, Name, Telefonnummer tauchen auf der zweiten Liste ( Ledger Orders (( Buyers)) only) nicht auf.

Meine Mail jedoch ist auf der ersten Liste (Ledger Orders (Subscription) zu finden.

Gekauft wurde der Ledger beim großen Fluß im Mai 2020. Verkäufer war damals Ama...,  Versender jedoch Ledger selber.

Das würde erklären, dass ich die Phishingmails bekomme.

Damit kann ich Leben. Gut das ich, entgegen aller Vorsichtmaßnahmen, nicht direkt bei Ledger bestellt habe.

Und auch hier nochmals der Hinweiß: Wenn ihr eine Mail bekommt, wo ihr irgendein Ledger update installieren sollt: Ladet nichts aus dieser Mail runter!!!  Ihr erkennt diese Fakemail an dem Absender, der in der Adresse Legder und nicht Ledger hat. Und gebt um Gottes willen nicht die 24 recovery Wörter raus!!!

[Morama]

vor 2 Stunden schrieb koiram:

Ob man die überhaupt auf dem PC speichern darf, zumindest wenn man selber nicht betroffen ist, außer wenn man in der Liste drin ist und die evtl. als Beweis für die Staatsanwaltschaft braucht?

Damit man etwas nicht darf, muss man gegen ein Gesetz verstoßen. Welches Gesetz wäre das im Falle eines Downloads und Speicherung auf dem PC denn?

[HansWurst80]

vor 8 Minuten schrieb Manblues:

Ja aber woher wollen die wissen dass nun nicht alle ihre Ledger zerstören und auf andere Weise schützen oder im Bankschließfach oder oder oder... 

Die Strafe bei Home Invasion ist schon etwas höhere sodass Kosten/Nutzen auch abgeschätzt wird, denke ich. 

"Hand abgehakt, 3-5 Jahre Gefängnis... Was wurde erbeutet? Nichts weil das Opfer schon auf eine Spam mail reingefallen ist" 

Das mag bei uns ein gutes Argument sein, aber wenn so einer vor Dir steht, wird das nur eine Ausrede sein. Wurde schon weiter oben im Thread thematisiert. Dann doch vielleicht einen Ledger mit wenig drauf liegen haben 😄

[HansWurst80]

Hab gerade eine Mail von Ledger erhalten, darin erläutern Sie, dass die gestrige Veröffentlichung wohl dem Leak aus 07/20 entstammt, allerdings viele weitere, damals nicht veröffentlichte Adressen enthält usw.

Hier der Text:

Security Notice

What happened?   We contacted our customers last July to tell them that part of our e-commerce marketing database had been leaked.   Yesterday we were informed about the dump of the content of a Ledger customer database on Raidforum. We believe this to be the contents of our e-commerce database from June, 2020. For specific questions please refer to the FAQ, which we will continue to update to address your concerns.   What information was involved?   At the time of the incident, in July, we engaged an external security organisation to conduct a forensic review of the logs available. This review of the logs enabled us to confirm that approximately 1 million email addresses had been stolen as well as 9,532 more detailed personal information (postal addresses, name, surname and phone number) that we were able to specifically identify.   The database publicly released yesterday shows that a larger subset of detailed information has been leaked, approximately 272,000 detailed information such as postal address, last name, first name and telephone number of our customers. These details are not available in the logs that we were able to analyse.   If you are part of the detailed personal information subset, you will receive a specific email notifying you within the next 24 hours (check your spam box).   It is important to note that this data breach is not linked to our hardware wallets nor Ledger Live security and your crypto assets are safe and not in peril of being compromised. Due to our comprehensive security scheme, attackers cannot steal your sensitive information like recovery phrases and private keys unless you give it to them. You are the only one in control and able to access this information. DO NOT GIVE YOUR 24 WORDS TO ANYONE. Ledger will NEVER ask you for your 24 words. What we are doing   Since July, we notified our clients in several communications via email, blog posts, and Twitter. We are doing everything possible to make Ledger stronger for the future. We have hired a new Chief Information Security Officer (CISO). We are further hardening our already strong systems and have thoroughly reviewed our data policy. We executed penetration tests and forensic analysis with external security firms to test these and find any additional vulnerabilities on our e-commerce systems.   We are continuously working with law enforcement to prosecute hackers and stop these scammers. We have taken down more than 170 phishing websites since the original breach. We have notified the French data protection authority regarding the data breach and are working with other data protection authorities across the world. Our Customer Support team is working 24/7 to answer your questions. We are doing everything we can to proactively deal with this critical situation and prevent anything similar in the future. We wish we could turn back the hands of time and make this problem disappear. Unfortunately we cannot, so we are focused on today and the future. Please be sure we are more focused than ever on security in every part of our customer experience.   What you can do   We recommend you exercise caution -- always be mindful of phishing attempts by malicious scammers. Ledger will never ask you for the 24 words of your recovery phrase, not even in Ledger Live. Ledger will never contact you via text messages or phone call.   Furthermore, while we do all we can, we suggest you visit the security section of Ledger Academy to educate yourself on general security principles and more precisely our article about phishing attacks. Also, familiarize yourself with the anatomy of these ongoing phishing campaigns and report any phishing you experience on this dedicated page.   If you want to know if your information may have been exposed previously head to https://haveibeenpwned.com/   We have taken immediate action to resolve the damage, and are diligently working to protect all customer information. We are extremely regretful that this incident impacts our customers and recognize it will take time to restore your confidence. We will do everything in our power to show you that this has made Ledger better, stronger, and more secure.   Sincerely, Pascal Gauthier CEO, Ledger

[HansWurst80]

Hab den Link mal ausprobiert und siehe da: I've been Pwned in 1 data breach". Da frage ich mich aber, wie das stimmen soll, wenn der Leak aus 07/20 ist und ich erst in 11/20 meine Daten bei Ledger hinterlassen habe...

[Morama]

vor 3 Minuten schrieb HansWurst80:

Hab den Link mal ausprobiert und siehe da: I've been Pwned in 1 data breach".

ist der 1 breach auch als der von Ledger 2020 ausgezeichnet oder ein anderer Leak?

Habe nämlich eine Schrottadresse, da tauchen dort schon 4 Leaks für auf. 🤣

[HansWurst80]

vor 4 Minuten schrieb HansWurst80:

Hab den Link mal ausprobiert und siehe da: I've been Pwned in 1 data breach". Da frage ich mich aber, wie das stimmen soll, wenn der Leak aus 07/20 ist und ich erst in 11/20 meine Daten bei Ledger hinterlassen habe...

 

vor 1 Minute schrieb Morama:

ist der 1 breach auch als der von Ledger 2020 ausgezeichnet oder ein anderer Leak?

Habe nämlich eine Schrottadresse, da tauchen dort schon 4 Leaks für auf. 🤣

Danke, wollte mich gerade berichtigen. Da war ich zu vorschnell. Nein, der stammt nicht vom Ledger. Puh 😅