Ledger ví lạnh bể! Đối tác rò rỉ thông tin người dùng, lặp lại lịch sử năm 2020

Ledger lạnh ví bên thứ ba thanh toán Global-e bị tấn công, dữ liệu người dùng bị rò rỉ. ZachXBT tiết lộ, Ledger xác nhận nhưng nhấn mạnh an toàn về quỹ và khoá riêng tư. Năm 2020 đã từng rò rỉ thông tin của 270.000 người dùng gây ra các cuộc tấn công lừa đảo và kiện tụng. Chuyên gia an ninh cảnh báo, gần đây cần cảnh giác với bất kỳ tin nhắn đáng ngờ nào yêu cầu cung cấp mnemonic hoặc ủy quyền.

Global-e là ai? Tại sao trở thành lỗ hổng an ninh

(Nguồn: Global-e)

Nhà điều tra blockchain ZachXBT ngày 5 tháng 1 tiết lộ, đối tác xử lý thanh toán bên thứ ba của Ledger là Global-e đã xảy ra rò rỉ dữ liệu, dẫn đến một số thông tin cá nhân của người dùng bị truy cập trái phép bởi người không rõ danh tính. Ledger luôn là dẫn đầu trong lĩnh vực ví phần cứng, người dùng có thể lưu trữ khoá riêng tiền mã hoá ngoại tuyến qua Ledger, được định vị là phương án quản lý tài sản an toàn hơn so với ví nóng hoặc sàn giao dịch tập trung, do đó có lượng lớn người dùng bán lẻ và tổ chức toàn cầu, mọi biến động về an toàn đều thu hút sự chú ý của cộng đồng tiền mã hoá.

Để đáp lại các nghi ngờ, chính thức của Ledger sau đó xác nhận với truyền thông rằng họ đã nhận được thông báo từ đối tác Global-e, cho biết dữ liệu đơn hàng trong hệ thống của họ bị truy cập trái phép. Global-e là nhà bán hàng (Merchant of Record) chịu trách nhiệm xử lý các giao dịch xuyên biên giới của trang web chính thức Ledger, trong cơ sở dữ liệu đám mây của họ có chứa thông tin khách hàng mua hàng trên trang chính của Ledger.

Người phát ngôn của Ledger nhấn mạnh, vụ việc an ninh này chỉ liên quan đến hệ thống của đối tác thương mại điện tử bên ngoài, nền tảng, phần cứng hoặc phần mềm của Ledger vẫn an toàn. Do sản phẩm của Ledger sử dụng thiết kế tự quản lý (Self-custodial), Global-e tuyệt đối không thể truy cập vào 24 mnemonic quan trọng của người dùng, số dư blockchain hoặc bất kỳ thông tin bí mật nào liên quan đến tài sản kỹ thuật số, và vụ việc này cũng không liên quan đến rò rỉ thông tin thẻ tín dụng.

Lập luận này về mặt kỹ thuật là đúng, nhưng bỏ qua rủi ro lớn hơn. Các tên, email và số điện thoại bị rò rỉ dù không thể trực tiếp trộm tiền, nhưng cung cấp danh sách mục tiêu hoàn hảo cho các cuộc lừa đảo có mục đích. Kẻ lừa đảo biết những người này sở hữu ví lạnh Ledger, có nghĩa là họ sở hữu một lượng tài sản mã hoá nhất định, khiến họ trở thành mục tiêu tấn công giá trị cao.

Ba điểm yếu trong chuỗi cung ứng an ninh

Nhà xử lý thanh toán bên thứ ba: Global-e và các đối tác xử lý giao dịch xuyên biên giới nắm giữ dữ liệu đơn hàng, trở thành mục tiêu của hacker

Nhà vận chuyển logistics: Rò rỉ địa chỉ giao hàng có thể dẫn đến cướp thực tế, năm 2020 từng có người dùng bị đe doạ vì vậy

Hệ thống dịch vụ khách hàng: Dịch vụ khách hàng thuê ngoài nếu quản lý không tốt có thể bị tấn công xã hội để lấy dữ liệu người dùng

Bài học đắng từ vụ rò rỉ 27 vạn người dùng năm 2020

Vụ rò rỉ dữ liệu của Ledger do đối tác gây ra khiến cộng đồng lại một lần nữa chú ý đến lịch sử tranh cãi của Ledger. Nhìn lại năm 2020, Ledger từng xảy ra một vụ rò rỉ dữ liệu nghiêm trọng, hacker đã xâm nhập thành công vào cơ sở dữ liệu marketing và thương mại điện tử liên quan đến công ty, khiến hơn 270.000 thông tin cá nhân người dùng bị công khai trên diễn đàn hacker RaidForums.

Thông tin bị rò rỉ lúc đó khá chi tiết, gồm tên người dùng, địa chỉ email, số điện thoại, thậm chí một số địa chỉ cư trú của người dùng cũng bị tiết lộ, gây lo lắng và bất mãn lớn trong cộng đồng. Nhiều nạn nhân sau đó bị tấn công và quấy rối bằng email lừa đảo hàng loạt. Dù Ledger đã treo thưởng Bitcoin để truy tìm thủ phạm, nhưng sau đó vẫn phải đối mặt với vụ kiện tập thể, nguyên đơn cáo buộc Ledger và đối tác thương mại Shopify không đủ biện pháp bảo vệ dữ liệu cá nhân, đặt người dùng vào rủi ro.

Sau vụ rò rỉ năm 2020, nhiều người dùng nhận được email lừa đảo giả mạo Ledger, nói rằng cần “cập nhật firmware” hoặc “xác thực tài khoản”, dụ người dùng nhập mnemonic 24 từ. Một số người đã mất hàng chục, thậm chí hàng trăm nghìn USD tài sản mã hoá. Trong trường hợp cực đoan, có người bị đe doạ thực thể vì địa chỉ bị rò rỉ, buộc phải giao nộp ví lạnh.

Dù hiện tại chưa rõ quy mô của vụ việc Ledger và Global-e lần này có thể đạt đến mức của năm 2020 hay không, nhưng chắc chắn sẽ làm dấy lên lại các lo ngại về cách các công ty tiền mã hoá và nhà cung cấp dịch vụ bên thứ ba xử lý dữ liệu người dùng. Đối với các công ty ví phần cứng coi an toàn là lợi thế cạnh tranh cốt lõi, bất kỳ vụ rò rỉ dữ liệu nào cũng có thể ảnh hưởng đến niềm tin của người dùng.

Phòng chống tấn công lừa đảo có mục tiêu

Chuyên gia an ninh cảnh báo, dù quỹ trong ví Ledger của người dùng vẫn an toàn, nhưng dữ liệu tên và liên hệ bị rò rỉ rất có thể bị dùng cho các cuộc tấn công xã hội có mục đích, người dùng gần đây cần cảnh giác cao với bất kỳ tin nhắn nào yêu cầu cung cấp mnemonic hoặc ủy quyền. An ninh chuỗi cung ứng là mối lo ngại, người dùng Ledger nên chú ý đến các cuộc lừa đảo qua email.

Đặc điểm của lừa đảo có mục tiêu là cực kỳ cá nhân hoá. Kẻ lừa đảo sẽ dùng tên thật, lịch sử mua hàng và thông tin liên hệ của bạn, giả danh dịch vụ khách hàng chính thức của Ledger, nói rằng ví của bạn gặp vấn đề an toàn cần “xử lý khẩn cấp”. Các tin nhắn lừa đảo này mang tính cá nhân cao hơn nhiều so với spam gửi hàng loạt.

Chính thức, Ledger sẽ không bao giờ chủ động yêu cầu người dùng cung cấp mnemonic hoặc khoá riêng. Bất kỳ email, tin nhắn hoặc cuộc gọi nào từ Ledger yêu cầu cung cấp thông tin nhạy cảm đều là lừa đảo 100%. Cách đúng là tắt các tin nhắn đáng ngờ, đăng nhập vào trang chính Ledger để xác minh hoặc liên hệ trực tiếp qua kênh chính thức của dịch vụ khách hàng.

Đối với các người dùng đã xác nhận dữ liệu cá nhân bị rò rỉ, khuyên nên đổi mật khẩu email liên quan đến Ledger, bật xác thực hai yếu tố, và trong vài tháng tới, giữ thái độ hoài nghi với mọi liên hệ từ Ledger. Nếu nhận được tin nhắn đáng ngờ, có thể chụp màn hình và báo cáo cho Ledger chính thức hoặc nhà điều tra blockchain ZachXBT.