Zum Inhalt springen

Ledger Warnung vor möglichem Datendiebstahl 29.07.20


Empfohlene Beiträge

vor 3 Stunden schrieb Cftral:

Um was für eine Art Unschönheit handelt es sich, eine weitere Sicherheitslücke?

Mir ist vor ein paar Tagen aufgefallen das Ledger im Online Shop nur ein Let's Encrypt Zertifikat verwendet, was für Online Shops nicht sehr seriös ist.

Nicht so gravierend, wie die Sache mit der API, aber auch nicht gerade wirklich "schön". Zum Schutz für uns alle, werde ich es aber nicht verraten. Aber ihr könnt beruhigt schlafen, so schlimm ist es nicht.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich habe mal vor kurzem in den Ledger Shop geschaut. Weiterhin werden unnötige Daten abgefragt und eine Telefonnummer ist notwendig, um die Bestellung abschließen zu können. Die haben wirklich nichts aus der Sache gelernt.

  • Love it 1
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 49 Minuten schrieb MKE:

und eine Telefonnummer ist notwendig

Kleine Anekdote. Ich hatte bei meiner Bestellung eine VoIP Nummer angegeben und war etwas verwundert als es dann bimmelte. Der Zusteller wollte wissen, wo ich wohne, da er mich nicht finden konnte. Ich Dödel hatte mich bei der Hausnummer vertippt....

  • Thanks 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Na dann ist das also doch zu etwas nutze. Kein Wunder also, dass sie dieses Feld nicht optional gestalten.

Ich wollte damals nicht meine Handynummer angeben, kam aber gar nicht auf die Idee, irgendeine Fake-Nummer reinzuschreiben. Also habe ich die Festnetznummer in der Arbeit verwendet. Jetzt bekomme ich dort immer wieder Anrufe, wenn ich rangehe ist keiner mehr dran. Ich habe das ursprünglich als Rückrufmasche verbucht und gar nicht mit Ledger in Verbindung gebracht. Letzte Woche wurde mir dann auch noch eine SMS mit einer Internetadresse von der Computerstimme auf den Anrufbeantworter gesprochen. Netter Versuch...

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 6 Stunden schrieb MKE:

Na dann ist das also doch zu etwas nutze. Kein Wunder also, dass sie dieses Feld nicht optional gestalten.

Ich wollte damals nicht meine Handynummer angeben, kam aber gar nicht auf die Idee, irgendeine Fake-Nummer reinzuschreiben. Also habe ich die Festnetznummer in der Arbeit verwendet. Jetzt bekomme ich dort immer wieder Anrufe, wenn ich rangehe ist keiner mehr dran. Ich habe das ursprünglich als Rückrufmasche verbucht und gar nicht mit Ledger in Verbindung gebracht. Letzte Woche wurde mir dann auch noch eine SMS mit einer Internetadresse von der Computerstimme auf den Anrufbeantworter gesprochen. Netter Versuch...

Nützlich kann es sein, aber notwendig ist es nicht. Ich habe mit vielen Online Shops zutun und die wenigsten wollen eine Telefonnummer. Und gerade in so einem Zusammenhang ist die Telefonnummer meiner Meinung nach noch sensibler einzuordner als sowieso schon. Deshalb verstehe ich nicht wieso das bei Ledger eine Pflichtangabe ist. 

Bearbeitet von Cftral
  • Like 3
Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 1.1.2021 um 18:00 schrieb Cftral:

Nützlich kann es sein, aber notwendig ist es nicht. Ich habe mit vielen Online Shops zutun und die wenigsten wollen eine Telefonnummer. Und gerade in so einem Zusammenhang ist die Telefonnummer meiner Meinung nach noch sensibler einzuordner als sowieso schon. Deshalb verstehe ich nicht wieso das bei Ledger eine Pflichtangabe ist. 

Glaube an den Lieferdienst wird die Telefonnummer übermittelt!

Aber mich beschäftigt das Thema auch wieder vermehrt: Bekomme seit Tagen Anrufe aus Österreich. Gehe da natürlich nicht dran. Genau so wenig würde ich auf Spam reagieren. Dies würde ja zeigen, dass ich „da“ bin. Aber über eine Suchabfrage scheinen derzeit vermehrt Betrüger anzurufen, welche einem die Bitcoins abschwätzen wollen oder gar die Leute bedrohen. Sehr unschön das Ganze! <_<

Bearbeitet von dxtr
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Stunden schrieb kazzumoto:

ich habe das teil hier entdeckt.

https://www.ngrave.io/products/zero

soll demnächst erscheinen und 100% sicher sein.

ihr könnt es euch mal ansehen und eure meinung abgeben.

Sieht gut aus. Recht teuer... 

Ich persönlich würde allerdings keine Hardware Wallet kaufen die nicht mindestens mal ein oder zwei Jahre auf dem Markt ist. 

  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 11 Stunden schrieb dxtr:

Also mich nerven die SPAM-Mails und Telefonanrufe doch sehr!

Ist euer Vertrauen in die Firma nun erschöpft oder vertraut ihr weiterhin in die Technik?

Ja, es nervt tatsächlich. Es ist tatsächlich bereits weniger geworden, aber noch immer vorhanden.

 

Zu deiner Frage: Ja, total.. Auf Ledger habe ich Hass.. aber das Produkt halte ich weiterhin für sicher und gut

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 51 Minuten schrieb Cftral:

Wenn man bei Trezor bestellt muss man leider auch eine Telefonnummer angeben, ist mir gerade aufgefallen. Das haben also sowohl Ledger als auch Trezor nicht optimal gelöst.

Das machen doch sogut wie alle onlineshops (auch alle Hardwarewallet-Hersteller: Ledger, Trezor, shiftcrypto usw.) , die frage ist nur, müssen solche Daten länger als 1-2 Wochen gespeichert sein und wozu?  

Naja, eigentlich klar wozu: weiter verkaufen und Geld verdienen..

 

Bearbeitet von Xaladilnik
  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich werde seit Tagen mit Anrufen von Rufnummern aus Großbritannien und Österreich bombardiert. Ich komme mit dem Sperren der unterschiedlichen Rufnummern garnicht mehr hinterher 😟

Wenn das so weiter geht, muss ich die Rufnummer still legen🤮

Nachbrenner: Jetzt sind auch Handynummern dabei🤦🏼‍♂️

Bearbeitet von kater
Link zu diesem Kommentar
Auf anderen Seiten teilen

Am 9.1.2021 um 22:07 schrieb Cftral:

Wenn man bei Trezor bestellt muss man leider auch eine Telefonnummer angeben

Diese wird allerdings nach 90 Tagen gelöscht, das ist schon immer so bei denen.

https://blog.trezor.io/trezors-usp-usability-security-privacy-bb206761f39

Vielleicht könnte man in Zukunft die ganze Sache vereinfachen. Einfach eine "alternative" Telefonnummer(z.B. eine Prepaid, oder eine falsche Nummer oder eine Satellite App ect...) angeben und das Paket einfach irgendwo anders hin liefern lassen wenn möglich. In die Firma, zum Nachbarn 😁<--Spass oder an eine Poststation direkt wenn möglich. Vielleicht hat der eine oder andere noch andere Möglichkeiten.

Ich habe mir noch nie direkt nach Hause eine Hardware Wallet schicken lassen. Für solche Themen hat mich @Jokin ,nur durch mitlesen seiner Beiträge, einfach total sensibilisiert.  Das Thema ist ebenfalls komplett tabu im RL, auch bei Kollegen, Nachbarn, Freunden. Ich käme gar nicht auf die Idee mich über Kryptowährungen zu unterhalten. 

Bearbeitet von Franz
  • Like 2
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 2 Stunden schrieb kater:

Ich werde seit Tagen mit Anrufen von Rufnummern aus Großbritannien und Österreich bombardiert. Ich komme mit dem Sperren der unterschiedlichen Rufnummern garnicht mehr hinterher 😟

Wenn das so weiter geht, muss ich die Rufnummer still legen🤮

Nachbrenner: Jetzt sind auch Handynummern dabei🤦🏼‍♂️

Kann noch schlimmer werden. Bei mir kommt es zwar nicht von Ledger, aber heute habe ich mal wieder eine SMS Nachricht über ein abgeschlossenes ABO, immerhin 4,99 €/Woche. Wer dahinter steckt muss man wie immer selbst rausfinden, gab heute erstmal ein paar böse Mails an die Beteiligten. Drittanbietersperre ist natürlich schon lange aktiviert.

natürlich könnte ich mir einfach eine neue Nummer holen, aber ich habe meine Nr. jetzt seit 15 Jahren und 3maliger Mitnahme. Eine neue Nummer,  das wäre Kapitulation. Als letzte Maßnahme, sollte eine Rechnung kommen bleibt die Betrugsanzeige. Bundesnetzagentur hilft eher nix, zahnloser Tiger. Da habe ich schon viele Nummern gemeldet, Rückmeldung "zero".

Gerade kam eine Mail vom Anbieter der Abzocke.(Firmenname lasse ich erstmal weg)  Die Nummer werden sie aber nicht bekommen, wenn sie der Urheber sind haben sie die Nr. ohnehin.

Sehr geehrter Kunde,

vielen Dank für Ihre Anfrage.

Bitte haben Sie etwas Geduld.

Wir werden Ihre Anfrage so schnell wie möglich bearbeiten.

Für eine zügige Bearbeitung benötigen wir Ihre Handynummer.

 mit freundlichen Grüßen,

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gerade eine neue Mail von Ledger bekommen.

 

Dear client,

 

On December 23, 2020, Shopify, our e-commerce service provider, informed Ledger of an incident involving merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020. This is related to the incident reported by Shopify in September 2020, which concerns more than 200 merchants, but until December 21, 2020, Shopify had not identified this affected Ledger as well. 

 

We were able to examine the stolen data together with a third party forensic firm to identify the impacted customers. 

 

We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed. 

 

We notified the French Data Protection Authority on December 26, 2020. We are continuing to work with Shopify and law enforcement on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s). 

 

Thefts and attacks such as this cannot go uninvestigated or unprosecuted. We continue to work with law enforcement as well as private investigators on these cases, and we are adding more firepower by hiring additional private investigation capacity, adding experience and approaches to finding those responsible for these data thefts. 

 

FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance.

 

If you would like more detail on the many steps we are taking to prevent such incidents in the future, please read this blog post.

 

Sincerely,

Pascal Gauthier 

Ledger CEO

Link zu diesem Kommentar
Auf anderen Seiten teilen

Läuft eigentlich der Ledger-Shop über Shopify? Ich habe eben eine Email von Ledger bekommen (korrekte Absenderadresse), dass Ledger-Daten über Shopify gestohlen wurden: "We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed. " Auch interessent: "Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020." Interessant nur, dass ich meinen Nano S schon 2018 gekauft habe. Also entweder ist das Blödsinn oder die hatten Zugriff auf die gesamte Ledger-Datenbank.

Und dann ein weiterer Abschnitt: "FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance."

Wie bitte????? Eigentlich würde ich diese Email sofort als Spam einstufen, aber die Absendeadresse passt. Der Laden wird mir immer mehr suspekt.

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 17 Minuten schrieb MKE:

Läuft eigentlich der Ledger-Shop über Shopify? Ich habe eben eine Email von Ledger bekommen (korrekte Absenderadresse), dass Ledger-Daten über Shopify gestohlen wurden: "We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed. " Auch interessent: "Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020." Interessant nur, dass ich meinen Nano S schon 2018 gekauft habe. Also entweder ist das Blödsinn oder die hatten Zugriff auf die gesamte Ledger-Datenbank.

Und dann ein weiterer Abschnitt: "FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance."

Wie bitte????? Eigentlich würde ich diese Email sofort als Spam einstufen, aber die Absendeadresse passt. Der Laden wird mir immer mehr suspekt.

Der letzte Satz hat mich auch irritiert. Ich glaube aber das es anders gemeint ist. Die Passfrasen sollen wohl durch eine Einlagensicherung ergänzt werden. Aber was genau jetzt damit gemeint ist, weiß ich nicht.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor einer Stunde schrieb rushfaktor:

Gerade eine neue Mail von Ledger bekommen.

 

Dear client,

 

On December 23, 2020, Shopify, our e-commerce service provider, informed Ledger of an incident involving merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020. This is related to the incident reported by Shopify in September 2020, which concerns more than 200 merchants, but until December 21, 2020, Shopify had not identified this affected Ledger as well. 

 

We were able to examine the stolen data together with a third party forensic firm to identify the impacted customers. 

 

We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed. 

 

We notified the French Data Protection Authority on December 26, 2020. We are continuing to work with Shopify and law enforcement on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s). 

 

Thefts and attacks such as this cannot go uninvestigated or unprosecuted. We continue to work with law enforcement as well as private investigators on these cases, and we are adding more firepower by hiring additional private investigation capacity, adding experience and approaches to finding those responsible for these data thefts. 

 

FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance.

 

If you would like more detail on the many steps we are taking to prevent such incidents in the future, please read this blog post.

 

Sincerely,

Pascal Gauthier 

Ledger CEO

Hatte auch erst vermutet, dass es eine Phishing-Mail war.

Auf deren Blog wird die ganze Thematik nochmal ausführlicher beschrieben: https://www.ledger.com/blog/update-efforts-to-protect-your-data-and-prosecute-the-scammers

  • Like 1
Link zu diesem Kommentar
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...

Wichtige Information

Wir haben Cookies auf Deinem Gerät platziert. Das hilft uns diese Webseite zu verbessern. Du kannst die Cookie-Einstellungen anpassen, andernfalls gehen wir davon aus, dass Du damit einverstanden bist, weiterzumachen.