Ledger database hack van 2020
Ledger is een Frans bedrijf dat vooral bekend is van zijn Ledger Nano S en Ledger Nano X hardware wallets. Zelf heb ik een paar jaar terug de Ledger Nano S aangeschaft en (met uitzondering van de update naar 1.6) deze altijd met veel plezier gebruikt. Er is verder nog steeds niks mis met de hardware wallets van Ledger. Maar zoals sommige van jullie weten heeft Ledger sinds de zomer van 2020 last van data hacks en leaks.
Een paar maanden terug kreeg ik van Ledger een mailtje dat me wees op de hack van twee van hun databases. Een van hun nieuwsletter database, waarbij er een miljoen e-mailadressen gelekt waren, en van hun klantendatabase, waarbij 9.532 klantgegevens: e-mailadres, volledige naam, woonlocatie en telefoonnummer gelekt zijn!
Ik behoor zelf gelukkig alleen tot de groep waarvan het e-mailadres gelekt is. Daarnaast is het e-mailadres dat ik voor Ledger gebruikt heb een ander e-mailadres dat ik voor bijvoorbeeld Coinbase gebruik.
Veel groter dan werd afgedaan
Maar wat blijkt nu een paar maanden later? Het waren niet 9.532 klantgegevens die gelekt zijn, maar zo’n 272.000! Bijna 30 keer zoveel mensen die gedupeerd zijn. 20 december 2020 is op Raidforums de volledige lek gratis vrijgegeven. Hiervoor werd het bestand online doorverkocht aan hackers.
Sinds het vrijgeven van alle gelekte data op Raidforums zijn er nu zo’n 272.000 mensen die ge-mailed en gebeld worden met doodsbedreigingen tenzij ze cryptomunten overmaken naar degene die de bedreigingen maakt. Er vinden SIM swaps plaats door hackers die toegang proberen te krijgen tot accounts voor Coinbase, Kraken etc. Zelf is er een Coinbase account aangemaakt door hackers met mijn gelekte e-mailadres.
Natuurlijk zijn de meeste bedreigingen die mensen ontvangen spam. Die dreigende mails worden naar lijsten van mailadressen gestuurd in de hoop dat er wat mensen in trappen. Maar ik zou me echt niet veilig voelen als ik telefonische bedreigd zou worden.
Teleurstellende afhandeling van Ledger
En de reactie van Ledger? Die blijft nogal uit. Natuurlijk hebben ze een mailtje gestuurd dat het spijtig is dat alles zo is gelopen, maar beloven ze dat ze nu alles beter op orde hebben. Geen hulp, geen compensatie en totaal geen sympathie voor de 272.000 mensen waarvan hun persoonlijke data op straat ligt.
Hierom kan ik Ledger niet meer steunen als bedrijf. Als je zoals ik een hardware wallet van Ledger hebt, dan kan je deze nog steeds blijven gebruiken. Er is niks mis met de hardware wallets, maar de manier waarop dit bedrijf omgaat met zijn klanten is zwaar teleurstellend. Zelf heb ik een verzoek ingediend bij Ledger voor het verwijderen van al mijn data onder artikel 17 van de GDPR.
Als ik in de toekomst een nieuwe hardware wallet nodig heb dan kijk ik zelf naar Trezor of een ColdCard. Trezor heeft laten weten hun klantgegevens wel te beschermen met encryptie en deze niet langer te bewaren dan nodig is.
Pingback: Hoe kan ik mijn Bitcoin en altcoins veilig bewaren? | Crypto Cake