© Ledger

Produkte
07/29/2020

Bitcoin: Datenbank von Hardware-Wallet Ledger gehackt

Eine Million E-Mail-Adressen von Kunden wurden entwendet, teilte der beliebte Wallet-Hersteller mit.

von Martin Stepanek

Mit seinen USB-Stick-Hardware-Wallets zählt die französische Firma Ledger zu den wichtigsten Anbietern, um Kryptowährungen wie Bitcoin sicher offline zu speichern. Wie das Unternehmen am Mittwoch mitteilte, wurde nun ein Hack der Kundendatenbank entdeckt. Eine Million E-Mail-Adressen wurden entwendet. Von 9500 Kunden konnten die Angreifer offenbar nicht nur die E-Mail, sondern auch persönliche Informationen wie Name, Adresse und Telefonnummer erbeuten.

Risiko von Phishing-Angriffen

Wie Ledger mitteilte, betrifft die ausgenützte Sicherheitslücke "nur" die eigene Kunden-Datenbank. Zu keiner Zeit sei die Technologie der Hardware-Wallet oder auch die darauf abgelegten Kryptowährungen gefährdet gewesen. Auch wenn die Verschlüsselungstechnologie nicht betroffen sein soll, ist der Vorfall mehr als unangenehm. Denn über die erbeuteten Informationen können Ledger-Nutzer in eine Phishing-Falle gelockt werden.

In einem Blogeintrag, aber auch per E-Mail wurden Kunden einringlich davor gewarnt, die 24 Worte umfassende Sicherheitsphrase online einzugeben. Mit dieser können sich Fremde Zugang auf das gesamte Krypto-Ersparte verschaffen. Ledger werde Kunden diesbezüglich nie per E-Mail oder anderem Wege kontaktieren. In Zukunft wolle man anstelle von E-Mail-Kommunikation verstärkt über die eigene App "Ledger Live" mit Kunden kommunizieren.

Daten wurden bereits im Juni abgegriffen

Die 9500 Nutzer, deren persönliche Daten entwendet wurden, werden von Ledger separat verständigt. Das Unternehmen hat zudem ein FAQ zusammengestellt, in denen die wichtigsten Fragen und Antworten zu dem Vorfall zusammengefasst werden.

Auf den Vorfall, der auf eine fehlerhaft implementierte Schnittstelle auf der eigenen Webseite zurückgeht, wurde Ledger durch das eigene Sicherheitsprogramm aufmerksam, das private Sicherheitsforscher zum Aufspüren von Schwachstellen einlädt. Die Daten wurden aber offenbar schon im Juni abgesaugt.