В июле 2020 года компания Ledger объявила о взломе своей маркетинговой базы данных. Хакерская атака не повлияла на безопасность кошельков, но привела к утечке миллиона электронных писем, и её последствия ощущаются даже спустя год.
Пользователь аппаратного кошелька Ledger, чьи данные тоже «утекли», разместил в Reddit фотографии поддельного кошелька Ledger Nano X, который он получил по почте от мошенников. Устройство было завёрнуто в «фирменную» упаковку, однако посылка имела множество подозрительных признаков. К посылке прилагалось плохо составленное письмо, якобы подписанное генеральным директором Ledger Паскалем Готье (Pascal Gauthier), с гарантией, что подобного нарушения и утечки информации больше никогда не повторится.
В письме было указано, что в целях безопасности компания отправила пользователю новое устройство, которое он теперь должен использовать, чтобы его криптовалюты оставались в сохранности. К нему прилагалась инструкция по настройке и использованию нового кошелька. От пользователя требовалось ввести специальную фразу для восстановления, чтобы подключить кошелёк к новому оборудованию.
Естественно, при введении этой фразы, пользователь собственноручно предоставит злоумышленникам доступ к своему кошельку. «Подаренные» устройства предназначены для передачи введённой пользователем фразы на устройство, контролируемое мошенниками. Впоследствии они могут использовать её для кражи криптоактивов. Специалист по безопасности Майк Гровер (Mike Grover) прокомментировал фотографии, на которых изображены печатные платы оригинального и поддельного устройства.
«Это обычная флеш-карта, прикреплённая к кошельку Ledger для занесения вредоносных программ. Поскольку все компоненты находятся на другой стороне, нельзя с уверенностью сказать, является ли этот «инструмент» всего лишь запоминающим устройством. Однако судя по запаиванию, это просто мини-флешка без корпуса. На задней части устройства виден «имплант» карты флеш-памяти и четыре провода, соединённые с теми же выводами USB-порта Ledger», - сообщил Гровер.
Компания Ledger предостерегала своих клиентов о возможном получении поддельных посылок с аппаратным кошельком уже 10 мая. Руководство компании призвало пользователей ни в коем случае не подключать фальшивое устройство к компьютеру и не вводить 24 слова в поддельное приложение Ledger Live. Компания Ledger никогда не потребует от пользователей, чтобы они сообщили свою секретную фразу.
Напомним, что в апреле против компании Ledger был подан групповой иск. Производитель кошельков обвиняется в том, что он не убедился в безопасности платформы электронной коммерции Shopify, из-за чьих действий и начался «слив» информации.