Vazamento de Dados da Ledger via Global-e: Aumento dos Riscos de Phishing e Preocupações com a Segurança de Terceiros

Fonte: CryptoValleyJournal Título Original: Ledger suffers renewed data leak via payment service provider Global-e Link Original:

Ledger sofre nova fuga de dados através do fornecedor de serviços de pagamento Global-e

Fabricante de carteiras de hardware, Ledger foi afetada por mais uma fuga de dados. O incidente ocorreu através do fornecedor externo Global-e, um provedor de serviços de pagamento para a empresa. O analista de blockchain ZachXBT tornou pública a fuga de segurança e alertou os utilizadores sobre um aumento do risco de phishing.

A Global-e confirmou acesso não autorizado a dados pessoais de clientes Ledger, incluindo nomes e informações de contacto. No entanto, a empresa não divulgou o número exato de utilizadores afetados. Numa declaração inicial, a Ledger enfatizou que a sua própria infraestrutura não foi comprometida. A vulnerabilidade de segurança afetou exclusivamente os sistemas de cloud da Global-e. Frases de recuperação, chaves privadas, saldos de carteiras ou informações de pagamento não foram afetados, uma vez que a Global-e não tem acesso a esses dados sensíveis.

Risco de fornecedores externos em foco no debate de segurança

O incidente destaca a vulnerabilidade dos fornecedores de carteiras de hardware através de fornecedores de serviços externos. A Global-e descobriu atividade incomum na sua rede e imediatamente iniciou medidas de contra-ataque. A empresa contratou especialistas forenses para investigar o alcance da fuga de segurança. A análise confirmou que os atacantes tiveram acesso a dados pessoais.

A Ledger usa a Global-e como parceira de comércio eletrónico para processar pagamentos internacionais. Esta abordagem permite ao fabricante de carteiras de hardware servir clientes em diferentes regiões, mas cria dependências. Externalizar processos de pagamento para fornecedores de serviços especializados é comum na indústria. No entanto, isso cria uma superfície de ataque ampliada, pois os dados dos clientes são armazenados em várias empresas.

As informações comprometidas — nomes e detalhes de contacto — parecem menos críticas à primeira vista do que as credenciais de acesso às carteiras. No entanto, os especialistas em segurança alertam para as consequências. Os dados possibilitam campanhas de phishing direcionadas, onde os atacantes se passam por funcionários da Ledger e podem enganar os utilizadores para revelarem as suas frases de recuperação.

Risco de phishing em escalada após fugas de dados

Os dados expostos fornecem aos cibercriminosos uma base para ataques sofisticados de engenharia social. Os utilizadores afetados devem esperar um aumento de emails fraudulentos. Estes são projetados profissionalmente e parecem legítimos. Os atacantes aproveitam o facto de que dados genuínos de clientes estão disponíveis para criar confiança.

A Ledger já alertou após incidentes anteriores que a empresa nunca solicita frases de recuperação, passwords ou códigos de verificação. Esta regra básica continua a ser central na proteção de ativos digitais. Os utilizadores devem classificar qualquer comunicação que solicite a entrada de dados sensíveis como fraudulenta — independentemente de parecer autêntica.

Os investigadores de segurança recomendam que os utilizadores afetados mantenham uma vigilância reforçada. Isto inclui ignorar emails suspeitos, não clicar em links de fontes não verificadas e, de modo geral, não escanear QR codes que solicitem a entrada de frases de recuperação. Além disso, os utilizadores devem ativar a autenticação de dois fatores sempre que possível.

Histórico de incidentes de segurança recorrentes na Ledger

O incidente atual junta-se a uma série de fugas de dados que afetaram a Ledger nos últimos anos. Em julho de 2020, ocorreu a fuga de segurança mais grave até à data. Os atacantes tiveram acesso à base de dados de comércio eletrónico e marketing da empresa e comprometeram informações de aproximadamente 1,1 milhões de endereços de email, bem como dados detalhados de 272.000 clientes, incluindo nomes completos, números de telefone e endereços residenciais.

Os dados roubados foram inicialmente vendidos e divulgados publicamente em fóruns de hackers em dezembro de 2020. Isto desencadeou uma onda de campanhas de phishing e tentativas de extorsão. Na altura, a Ledger afirmou que tinha encerrado 171 sites de phishing em dois meses. Mas as consequências foram muito além de ataques digitais. Os criminosos usam endereços expostos de detentores de criptomoedas para ataques físicos — chamados de “wrench attacks”. Em janeiro de 2025, os perpetradores sequestraram o cofundador da Ledger, David Balland, e a sua esposa na sua casa na França. Os atacantes exigiram resgate em criptomoedas e cortaram um dedo de Balland. A polícia francesa libertou o casal após vários dias de cativeiro. O incidente demonstra que fugas de dados em empresas de criptomoedas podem ter consequências de risco de vida.

Em dezembro de 2020, ocorreu outro incidente através do fornecedor de serviços de comércio eletrónico Shopify. Lá, funcionários corruptos exportaram ilegalmente dados de transações de clientes em abril e junho de 2020. Uma ação coletiva contra a Ledger e a Shopify foi posteriormente arquivada por um tribunal da Califórnia em novembro de 2021. Em dezembro de 2023, atacantes comprometeram a biblioteca JavaScript Connect Kit da Ledger através de um ataque à cadeia de abastecimento. Durante uma janela breve, quase $500.000 foram roubados de utilizadores que interagiram com aplicações descentralizadas afetadas. Este incidente afetou não só os dados dos clientes pela primeira vez, mas também resultou em perdas financeiras diretas.

Questão de confiança e padrões da indústria

Os incidentes de segurança recorrentes levantam questões sobre a resiliência dos fornecedores de carteiras de hardware. A Ledger enfatiza consistentemente que as próprias carteiras de hardware e as chaves privadas nelas armazenadas não foram comprometidas. Esta separação entre segurança do produto e dados da empresa é tecnicamente correta, mas insuficiente.

As consequências a longo prazo das fugas de dados manifestam-se em campanhas de phishing contínuas. Os afetados pela fuga de 2020 relatam tentativas fraudulentas de contacto mesmo anos depois. Os dados mantêm o seu valor para os criminosos enquanto os indivíduos afetados continuarem a possuir criptomoedas.

Para a indústria, surge a questão de padrões de segurança adequados para fornecedores de terceiros. Os fabricantes de carteiras de hardware não devem apenas proteger os seus próprios sistemas, mas também garantir que os parceiros implementem medidas de segurança comparáveis. Externalizar processos de pagamento e serviços de marketing cria dependências difíceis de controlar. Os utilizadores da Ledger enfrentam a decisão de continuar a confiar na empresa. As próprias carteiras de hardware continuam a ser consideradas seguras — desde que os utilizadores não revelem as suas frases de recuperação. O risco maior reside na identidade exposta como detentor de criptomoedas, que os atacantes podem usar para campanhas direcionadas.