Medidas de prevenção após a violação de dados do cliente Ledger, especialistas alertam que a proteção da privacidade é o mais importante

Fabricante de carteiras de hardware de criptomoedas Ledger confirmou recentemente que o seu parceiro de comércio eletrónico de terceiros, Global-e, sofreu uma violação de dados de clientes, levando ao roubo de informações pessoais de alguns clientes que compraram produtos de carteiras frias através da loja online oficial. Após a divulgação do incidente, a comunidade de criptomoedas manifestou preocupações sobre a segurança das carteiras frias e de hardware.

Chaves privadas dos clientes não foram comprometidas, mas nomes e contactos dos utilizadores foram roubados

De acordo com a explicação da Ledger, este incidente não envolveu chaves privadas, fundos na carteira ou informações de pagamento, mas os dados vazados incluem nomes de utilizadores e contactos. Especialistas em segurança apontam que, uma vez que estas informações caiam nas mãos de indivíduos maliciosos, podem ser usadas para fraudes direcionadas, ataques de engenharia social e até ameaças físicas ( como assaltos). Horas após a divulgação do vazamento, vários utilizadores relataram receber uma quantidade significativa de emails de phishing e mensagens fraudulentas. Os atacantes também se passaram por funcionários do suporte da Ledger ou Global-e, usando as informações pessoais vazadas para criar uma sensação de confiança, com frases como “conta anormal” ou “dispositivo necessita de substituição”, pressionando os utilizadores a fornecer dados sensíveis. Este não é o primeiro incidente de vazamento de dados da Ledger. Em 2020, a empresa sofreu uma grande violação de dados que afetou cerca de 300.000 utilizadores; em 2021, os fraudadores enviaram mensagens de phishing com carteiras de hardware Ledger falsificadas. Especialistas em segurança afirmam que, após incidentes anteriores, ocorreram roubos de carteiras, perdas financeiras e, em casos extremos, ameaças de violência física contra os detentores de tokens.

Especialistas destacam que a prevenção de engenharia social e a proteção de dados pessoais são essenciais

Os especialistas alertam que o risco não se limita apenas aos utilizadores cujos dados foram incluídos na lista de vazamentos. Qualquer pessoa percebida como possuidora de uma carteira de hardware ou ativos criptográficos pode ser alvo de ataques de phishing ou engenharia social. O CEO da Zengo Wallet, e especialista em segurança de carteiras, Ouriel Ohayon, afirma que os utilizadores cujos dados foram vazados tornaram-se alvos claros, enfrentando riscos mais elevados. Além disso, o contacto proativo por parte do suporte ao cliente é um sinal de perigo; nunca partilhe frases de recuperação ou outros dados pessoais com ninguém. Os utilizadores devem verificar o remetente real de emails e evitar responder a mensagens não solicitadas ou através de canais não oficiais, especialmente emails, aplicações de mensagens instantâneas ou cartas físicas recebidas com “informações de suporte ao cliente”.

O chefe de segurança da informação da ENS, Alexander Urbelis, lembra que o tipo de dados vazados influencia o nível de ameaça, sendo que endereços físicos são particularmente sensíveis. Uma vez que o endereço residencial seja associado à identidade do utilizador da carteira de hardware, o risco potencial aumenta significativamente.

É necessário transferir fundos ou trocar de carteira?

Especialistas alertam para não agir por pânico e realizar operações na blockchain precipitadamente. Transferir fundos nem sempre reduz o risco; agir de forma impulsiva pode até criar novos perigos. Uma vez que a identidade do proprietário seja reconhecida, a localização dos fundos na criptomoeda torna-se irrelevante. Os atacantes focam-se na pessoa, não na carteira em si. Transferir fundos pode ser contraproducente, pois a transação é pública e os hackers podem seguir pistas. Nos métodos atuais de fraude contra utilizadores da Ledger, os atacantes geralmente não dependem de vulnerabilidades técnicas, mas de manipulação psicológica. Os fraudadores primeiro usam nomes reais ou detalhes de pedidos para criar credibilidade, e depois criam situações de emergência para pressionar os utilizadores a responder rapidamente. Para proteger os seus dados pessoais, o melhor conselho é “Don’t Trust, verify” ao enfrentar potenciais ataques.

Este artigo sobre as medidas de prevenção após o vazamento de dados de clientes da Ledger foi originalmente publicado na Chain News ABMedia.