Trezor и Ledger против хакера — был ли взлом и как защитить себя от утечек?

29 мая 2020 г. • на 8 мин.

Криптокомьюнити продолжает отдавать предпочтение аппаратным кошелькам, считая их самым безопасным способом хранения крипто-активов. Несмотря на присущие им уязвимости, они по-прежнему максимально надежны, особенно в сравнении с онлайн- или легкими десктоп-кошельками, а также биржами, которые регулярно взламывают. Однако совсем недавно эти «столпы криптовалютной обороны» пошатнулись. По крайней мере, так утверждает хакер, которые якобы взломал базы данных интернет-магазинов Ledger, Trezor и KeepKey, а затем выставил на продажу конфиденциальную информацию покупателей. На утечку первым обратил внимание специалист компании по кибербезопасности Under the Breach. Впрочем, производители кошельков открещиваются от «слива» и заявляют, что все это блеф. Какие аргументы приводят обе стороны и на чьей стороне правда? А главное — как защитить себя от подобных утечек? DeCenter во всем разобрался.

Что именно произошло?

Несколько дней назад специалисты компании Under The Breach, специализирующейся на кибербезопасности, обнаружили распродажу личных данных владельцев аппаратных кошельков Ledger от одноименной компании, Trezor от SatoshiLabs и KeepKey от ShapeShift. На текущий момент это три самых популярных аппаратных криптокошелька в отрасли.

The Ethereum forum hacker is now selling the databases of @Trezor and @Ledger.

Both of which obtained from a @Shopify exploit.
(suggesting there are many more underground leaks).

The hacker also claims he has the full SQL database of famous investing site @BankToTheFuture. pic.twitter.com/4M3f2bQKvB
— Under the Breach (@underthebreach) May 24, 2020

Хакер, взломавший форум Ethereum, теперь продает базы данных Trezor и Ledger. Каждая из них была получена путем эксплойта Shopify (предположительно, хакер владеет множеством других утечек). Взломщик также утверждает, что владеет полной SQL-базой известной инвестиционной платформы BnkToTheFuture.

Чтобы разобраться в ситуации, представители Under The Breach запустили к хакеру «тайного покупателя», который вступил в переписку со злоумышленником (скриншоты есть в твите выше). В ходе разговора выяснилось, что:

Предположительно, за утечку ответственен тот же самый хакер, который взломал официальный форум Ethereum в 2016.

Помимо сведений о владельцах криптокошельков киберпреступник якобы заполучил более 200 000 уникальных персональных данных клиентов различных популярных ресурсов: инвестиционной платформы BnkToTheFuture, бизнес-сервиса по распознаванию устройств Augur и криптобиржи Coinigy среди прочих.

Большой массив данных, включая личную информацию обладателей аппаратных кошельков, был получен в 2016 году через эксплойт Shopify — сервиса по созданию интернет-магазинов, который обрел популярность у множества топовых компаний. Часть данных была получена и из других источников — с Amazon или уникальных интернет-магазинов конкретных компаний.

Хакер отказался продавать сведения дешево и подчеркнул, что готов расстаться с ними только за «большие деньги», настаивая, что владеет актуальной и достоверной информацией. По его словам, в его руках оказалось персональное досье на всех покупателей:

Имена и фамилии

Адреса

E-mail

Номера телефонов

Полные сведения о заказах, включая особые пожелания

По версии взломщика, он украл абсолютно все данные, которые указывали покупатели аппаратных кошельков при заказах в официальных интернет-магазинах. Таким образом, если эти сведения попадут в руки заинтересованных лиц, они могут быть использованы для разного рода мошенничеств, в том числе для фишинговых атак и вирусов-вымогателей.

Но самое страшное, что, обладая информацией о местах проживания владельцев кошельков, можно отследить крупных криптодержателей, чтобы, например, инициировать шантаж, совершить попытку грабежа или кражи устройства. Как известно, если аппаратный кошелек попадает непосредственно в руки злоумышленников, сложность взлома многократно упрощается.

Расследование инцидента

Тревожность сведений побудила вовлеченные в скандал компании к подробным разбирательствам произошедшего. Впрочем, не всех. Например, представители ShapeShift (создатели KeepKey) до сих пор никак не прокомментировали ситуацию, а специалисты BnkToTheFuture напрочь отказались воспринимать ее всерьез. Тем не менее создатели Ledger и Trezor не оставили потенциальную утечку без внимания и начали собственные расследования. То же самое касается Shopify и, собственно, Under The Breach, первой обнаружившей «слив».

Спустя несколько часов после публикации новости компания Ledger через Twitter заявила, что «серьезно относится к делу» и инициировала подробный анализ выборочных данных (предположительно, купив базы у хакера). Первые результаты оказались не на руку преступнику — полученные посредством взлома данные и реальные сведения не совпадали.

Rumors pretend our Shopify database has been hacked through a Shopify exploit. Our ecommerce team is currently checking these allegations by analyzing the so-called hacked db, and so far it doesn’t match our real db. We continue investigations and are taking the matter seriously.
— Ledger (@Ledger) May 24, 2020

По слухам, наша база данных Shopify была взломана с помощью эксплойта. Наша команда по электронной коммерции в настоящее время проверяет эти утверждения, анализируя так называемые взломанные базы данных, и пока они не соответствуют нашим реальным базам. Мы продолжаем расследование и серьезно относимся к делу.

Аналогично Ledger, свои комментарии опубликовали представители Trezor. Они заявили, что регулярно удаляют записи о клиентах. Более того, они вовсе не используют Shopify, поэтому утечка вследствие указанного эксплойта является невозможной. Тем не менее в компании заявили, что намерены продолжать расследование.

There are rumors spreading that our eshop database has been hacked thru a Shopify exploit. Our eshop does not use Shopify, but we are nonetheless investigating the situation. We've been also routinely purging old customer records from the database to minimize the possible impact.
— Trezor (@Trezor) May 24, 2020

Ходят слухи, что наша база данных eshop была взломана с помощью эксплойта Shopify. Наш интернет-магазин не пользуется Shopify, но мы между тем расследуем ситуацию. Мы также систематически очищаем клиентскую базу, чтобы свести к минимуму возможные воздействия извне.

Компания Shopify тоже не осталась в стороне. Ее менеджер по коммуникациям Кэндис Со через некоторое время дала комментарий, что фирма проанализировала заявления хакера и не нашла никаких подтверждений его словам. Никаких следов взлома, «дыр» и тому подобного в системе Shopify не нашлось.

На следующий день после предполагаемой утечки представители Under The Breach тоже подтвердили, что достоверность данных вызывает сомнения.

At this point, there is absolutely no evidence that the hacker behind the alleged @Trezor and @Ledger leaks is telling the truth, and the samples which he did share did not match these companies internal investigations.

I will follow this closely and update if anything changes!
— Under the Breach (@underthebreach) May 25, 2020

На данный момент нет абсолютно никаких доказательств того, что хакер, стоящий за предполагаемыми утечками из Trezor и Ledger, говорит правду. Примеры, которыми он поделился, не соответствовали внутренним расследованиям этих компаний. Будем внимательно следить за ситуацией и сообщим, если что-нибудь изменится.

Чуть позже на сайте Ledger и в блоге Trezor были размещены официальные заявления о том, что компании заботятся о конфиденциальности пользователей, а предполагаемая утечка — это не более чем обман. К данному выводу обе фирмы пришли после «тщательного расследования» произошедшего.

Доводы Ledger:

По словам хакера, он воспользовался уязвимостью Shopify в 2016 году, когда и получил данные клиентов. Несмотря на то, что сегодня Ledger действительно сотрудничает с Shopify в рамках электронной коммерции, на тот момент компания не пользовалась сервисом.

Структура и содержание «утекших» данных отличаются от реальной информации в базе Ledger.

Специалисты Shopify в своих системах не обнаружили следов атак или какой-либо подозрительной активности.

Компания связалась с Under The Breach, и в совместном расследовании они не получили доказательств подлинности сведений, которыми владеет злоумышленник.

Доводы Trezor схожи:

Украденные хакером данные выглядят фейковыми, поскольку не соответствуют реальной информации из базы интернет-магазина Trezor, которой владеет руководство SatoshiLabs.

В правила компании также входит систематическое удаление персональных данных покупателей спустя 90 дней после совершения сделки, что значительно снижает вероятность какой-либо утечки.

Интернет-магазин Trezor никогда не работал с Shopify, который считается главным виновником «слива» персональных досье о клиентах. Поэтому эксплойт Shopify даже теоретически не мог стать источником украденных данных.

Что касается криптосообщества, традиционно, помимо комментариев в Twitter, разбор инцидента состоялся на Reddit. Большинство пользователей склонны верить жертвам и считают, что хакер лжет в целях заработать денег и/или подпортить репутацию аппаратных кошельков (или их производителей). Естественно, есть и те, кто не верит оправданиям, ссылаясь на то, что производители якобы заинтересованы в сохранении своей репутации и с легкостью могут договориться между собой об изложении единой версии произошедшего.

На данный момент чаша весов больше склоняется в пользу производителей аппаратных кошельков. Хакер до сих пор так и не разместил каких-либо доказательств правдивости сведений, а в теорию заговора с участием двух непримиримых конкурентов, независимой компании по кибербезопасности и известного на весь мир «конструктора» интернет-магазинов, верится с трудом. Для каждой компании безопаснее признать утечку и позаботиться о «латании дыр», нежели публиковать фейковые опровержения. Потому что если доказательства взлома всплывут в будущем, каждая компания получит огромный удар по репутации и потеряет доверие пользователей.

Примечательно, что часть других компаний — Augur, BlockCypher и Coinigy — предположительно, также подвергшихся взлому, все же косвенно подтвердили «слив». Однако при этом все они указали, что утечка этих данных уже происходила в 2016 году и на текущий момент она не представляет никакой опасности. Более того, в случае с Augur данные, о которых говорил хакер, на самом деле были не конфиденциальными, а общедоступными. При этом некоторые компании, например, BitSo и Plutus, аналогично Ledger и Trezor не нашли каких-либо убедительных доказательств успешных попыток взлома и считают данные сфабрикованными, что играет в пользу производителей аппаратных кошельков.

Как защитить себя от утечек?

Тем не менее теоретический шанс, что злоумышленник говорит правду, все равно остается. Как и шанс, что подобная утечка произойдет в будущем. В связи с этим и с учетом того, что сливы данных происходят регулярно, в очередной раз советуем позаботиться о безопасности вашей личной информации самостоятельно, следуя простым правилам по анонимизации в Интернете.

В контексте данной проблемы можно обезопасить себя даже при заказе аппаратных кошельков в интернет-магазинах:

По возможности заказывайте доставку товара не на личный адрес, а на адрес компании, где вы работаете.

Не указывайте личное имя, придумайте псевдоним. Это вполне реально осуществить при заказе товара в компанию — просто предупредите сотрудников ресепшена, что вы ждете посылку на такое-то имя.

Если возможности заказать посылку на работу нет, можно забрать ее из отделения почты. В таком случае вам не придется предоставлять свой адрес, но обойтись без указания имени не получится — сотрудники почты требуют документы. Поэтому безопаснее всего использовать абонентский почтовый ящик — это отличная возможность получить посылку, не указывая персональной информации.

Используйте e-mail, который не закреплен за вашим настоящим именем и никоим образом с вами не ассоциируется.

Избегайте указания личного номера телефона. Но если вы считаете, что вам действительно нужно указать номер для связи, лучше поделитесь рабочим.

Эти рекомендации помогут защитить вашу конфиденциальность, чтобы ваши персональные данные оставались в целости и сохранности даже вследствие взломов баз данных или других утечек.