Pages:
Author

Topic: Ledger (Live) - Angebote / Diskussion / Hilfe - page 63. (Read 23592 times)

legendary
Activity: 2520
Merit: 3054
Enjoy 500% bonus + 70 FS
Ich hab die Ankündigung mal für Ledger gefixed:

Quote
If you use bitcoin forks on your device, you could be affected. You should avoid using bitcoin forks.

So stimmts auf alle Fälle und man wird auch kein Opfer eines Angriffs Wink



Hab mir das jetzt nicht im Detail durchgelesen, ist aber eher wieder theoretischer Natur der Angriff, oder?
legendary
Activity: 1232
Merit: 1257
Ist noch brandneu das Ganze... bin gespannt wann Ledger reagiert und das Problem behoben ist.
Bis dahin bleibt das Teil lieber weggeschlossen.
Das Ledger Donjon Team hats bereits einen Bericht darüber erstellt: https://donjon.ledger.com/lsb/014/

Kein Grund das Teil wegzuschließen, Ledger weiß von dem Bug anscheinend bereits seit min. 1,5 Jahren  Wink
Still insisted on a 90 day disclosure period despite being fully aware of issue for 1y 6mo minimum (during development of firmware 1.5.5)

Soll laut offiziellem Twitter Account heute noch gefixt werden.
staff
Activity: 2548
Merit: 2709
Join the world-leading crypto sportsbook NOW!
Danke für die Warnung!
Auch auf reddit gibt es aktuelle Infos zu dem Thema:
https://www.reddit.com/r/ledgerwallet/comments/i3jyzw/from_bitcoin_sub_ledger_app_isolation_bypass/

Ist noch brandneu das Ganze... bin gespannt wann Ledger reagiert und das Problem behoben ist.
Bis dahin bleibt das Teil lieber weggeschlossen.
JL0
full member
Activity: 817
Merit: 158
Bitcoin the Digital Gold
Im WO Thread gerade erst gelesen. Ist noch ganz frisch vom 04 August 2020
https://monokh.com/posts/ledger-app-isolation-bypass

Quote
This post will disclose a vulnerability in the Ledger hardware wallets that can lead to theft of user funds.

An attacker can exploit this method to transfer Bitcoin while the user is under the impression that a transaction of another, less valuable altcoin (e.g. Litecoin, Testnet Bitcoins, Bcash, etc.) is being executed

If you use bitcoin forks on your device, you could be affected. You should avoid using these ledger apps until fixes are available.

The issue has been disclosed to Ledger but remains unaddressed. See Disclosure Timeline.

@aundroid

Danke für die Mail
staff
Activity: 2548
Merit: 2709
Join the world-leading crypto sportsbook NOW!
Ist geklärt ob die Daten echt abgeflossen sind oder ob es nur ein gutmütiger User beim Bug-Bounty-Programm entdeckt und gemeldet hat?
Beim Bug- Bounty Programm wurde nur auf die Lücke hingewiesen.
Die interne Untersuchung hat dann ergeben, dass bereits irgendwann im Juni die Lücke ausgenutzt wurde um von dieser Marketing DB die Tables abzufragen.
(also diese 1 Mio. Mail- Adressen und 9500 persönliche Informationen)

Super danke für die rasche Rückmeldung.
Teil 2 (Ergebnis der internen Untersuchung) kannte ich noch nicht Smiley
Hoffe Ledger und alle betroffenen Kunden kommen halbwegs heil aus der Sache raus.
legendary
Activity: 1232
Merit: 1257
Ist geklärt ob die Daten echt abgeflossen sind oder ob es nur ein gutmütiger User beim Bug-Bounty-Programm entdeckt und gemeldet hat?
Beim Bug- Bounty Programm wurde nur auf die Lücke hingewiesen.
Die interne Untersuchung hat dann ergeben, dass bereits irgendwann im Juni die Lücke ausgenutzt wurde um von dieser Marketing DB die Tables abzufragen.
(also diese 1 Mio. Mail- Adressen und 9500 persönliche Informationen)
staff
Activity: 2548
Merit: 2709
Join the world-leading crypto sportsbook NOW!
Danke aundroid das mit dem zweiten Mail wusste ich bisher nicht.
Zum Glück habe ich es auch nicht erhalten Lips sealed
Sieht aus als wäre meine Bestellung schon lange genug her und daher schwirren meine Daten nichtmehr rum... zumindest nicht an dieser Stelle.

Die DSGVO macht es den Unternehmen aber auch echt schwierig. Das ist zusätzlich zu dem Imageschaden so eines Hacks eine durchaus nicht zu vernachlässigende finanzielle Gefahr.

Ist geklärt ob die Daten echt abgeflossen sind oder ob es nur ein gutmütiger User beim Bug-Bounty-Programm entdeckt und gemeldet hat?
legendary
Activity: 1484
Merit: 1491
I forgot more than you will ever know.
snip

Habe diese mail auch bekommen. Oh wei, jetzt kennt jmd meine Titan gesicherte email und meinen falschen Namen XD
legendary
Activity: 1232
Merit: 1257
Hat jemand so eine Mail von euch schonmal gesehen ? Mich würde es mal Interessieren was dazu geschrieben ist (Für die 9500 Betroffenen).
Auf Reddit hat jemand die Mail veröffentlicht, die diese 9500 betroffenen Kunden erhalten haben - Im englischen Bereich hat jemand heute darauf verwiesen.

Dear client,

On the 14th of July 2020, a computer researcher that participated in our bug bounty program notified us of a potential data breach on the Ledger website. We immediately fixed the breach after receiving the researcher’s report and undertook an internal and external investigation of the situation. While conducting the investigation, we discovered an unauthorized third party had gained access to customer information.

While the majority of the data breach concerned email addresses, we regret to inform you that you are part of the approximately 9500 customers whose detailed personal information were accessed by the unauthorized third party. Specifically, your name and surname were exposed.

This data breach is not linked to our hardware wallets’ security and your cryptocurrency funds are safe. Due to our detailed security measures, attackers cannot steal your sensitive information like your recovery phrase and private keys. You are the only one in control and able to access this information.

We deeply apologize for this security breach and are working with law enforcement to undergo an investigation

Pascal Gauthier, Ledger CEO
JL0
full member
Activity: 817
Merit: 158
Bitcoin the Digital Gold
Hat jemand so eine Mail von euch schonmal gesehen ? Mich würde es mal Interessieren was dazu geschrieben ist (Für die 9500 Betroffenen).
legendary
Activity: 1316
Merit: 2018
Ich hab zum Glück auch keine weitere Mail mehr erhalten. Ich hoffe das ist ein gutes Zeichen!  Roll Eyes

Wahrscheinlich darf man aufgrund der Datenschutz-Grundverordnung diese Marketingdaten auch nur für eine bestimmte Dauer (1 Jahr? keine Ahnung  Smiley) speichern.

Hm ein Jahr wäre gut. Hab gerade mal ein wenig bei Ledger und einem anderen Thread gestöbert... ich quote einfach mal die betreffende Zeile:

Quote
We may archive some of your personal data, with restricted access, for an additional period of time when it is strictly necessary for us to comply with our legal and/or regulatory archiving obligations and for the applicable statute of limitation periods. At the end of this additional period, your remaining personal data will be permanently erased or anonymized from our systems.
...
If you purchased a product or a service from us, we may retain some transactional data attached to your Contact Details to comply with our legal, tax or accounting obligations for a maximum 10 years period set forth by French applicable laws, as well as to allow us to manage our rights (for example to assert our claims in Courts) during applicable French statutes of limitations.

Bei einem Kauf können aufgrund französischer Gesetzte bzw. Richtlinien - Ledger hat ihren Hauptsitz in FR - also bestimmte Kontaktdaten bis zu 10 Jahren gespeichert werden.
Bleibt erstmal zu hoffen, dass durch diesen Hack bzw. Datenlecks keiner zu schaden kommt.
legendary
Activity: 1232
Merit: 1257
Sollte man bis 17 Uhr CET keine weitere Mail erhalten haben, zählt man nicht zu den 9500.
Ich bin gottseidank nicht bei den 9,5k dabei, habe zumindest keine Mail bekommen. Ein schaler Beigeschmack bleibt natürlich ... wie können sie sicher sein, dass nur die Adressdaten dieser Kunden betroffen waren? Es handelt sich ja anscheinend um Tables mit Marketingdaten die abgefragt werden konnten, dort löscht man normalerweise nicht periodisch die Daten ...
Bin zum Glück auch nicht dabei.
Hoffe mal, dass es niemanden hier erwischt hat.
Wahrscheinlich darf man aufgrund der Datenschutz-Grundverordnung diese Marketingdaten auch nur für eine bestimmte Dauer (1 Jahr? keine Ahnung  Smiley) speichern.
legendary
Activity: 2520
Merit: 3054
Enjoy 500% bonus + 70 FS
Sollte man bis 17 Uhr CET keine weitere Mail erhalten haben, zählt man nicht zu den 9500.
Ich bin gottseidank nicht bei den 9,5k dabei, habe zumindest keine Mail bekommen. Ein schaler Beigeschmack bleibt natürlich ... wie können sie sicher sein, dass nur die Adressdaten dieser Kunden betroffen waren? Es handelt sich ja anscheinend um Tables mit Marketingdaten die abgefragt werden konnten, dort löscht man normalerweise nicht periodisch die Daten ...

Aus Sicht der DSGVO kommt da sicher noch was auf Ledger zu, die ersten Kunden haben ja schon angekündigt, dass sie klagen werden.
legendary
Activity: 1232
Merit: 1257
Ledger hat jetzt eine FAQ- Sektion auf deren Webseite eingerichtet.

Betroffen sind 1 Million Mail- Adressen und von 9500 Personen auch persönliche Informationen (Name, Telefonnummer, Adresse, gekaufte Produkte).

We know that this database comprises approximately 1M email addresses that could have been leaked and that 9500 more detailed personal information leaked as well such as first name, last name, phone number, and postal address and products purchased. More detailed personal information could have been exposed.

Sollte man bis 17 Uhr CET keine weitere Mail erhalten haben, zählt man nicht zu den 9500.


Quelle
JL0
full member
Activity: 817
Merit: 158
Bitcoin the Digital Gold
Ledger Newsletter.
Beim Bug-Bounty-Programm wurde eine Lücke entdeckt:

Diesbezüglich auch gerade eine Mail von Ledger erhalten.
Betroffen sind die Mail Adressen der Kunden.

Aber hatten wir darüber nicht schonmal gesprochen hier im Forum  Huh
Oder war das wieder ein anderer data breach. Kommt mir so bekannt vor.

Sind nicht nur die Mailadresse, teilweise auch die Postadressen u. Telefonnummern. Also durchaus lukrativ für Verbrecher. Wissen wer Cryptos hält und wo er wohnt.
Mehr braucht man eigentlich auch nicht oder ? Trezor hat beim letzten mal was dazu gelernt aber Ledger ? Kann man überhaupt bei sowas Klagen ?
Dann steht da auch noch UNVERSCHÄMT das hier : "Security Notice - Ecommerce and Marketing data have been exposed - Your funds are safe."
Das kommt mir sehr bekannt vor euch auch ?

legendary
Activity: 3486
Merit: 2287
Wheel of Whales 🐳
Ledger Newsletter.
Beim Bug-Bounty-Programm wurde eine Lücke entdeckt:

Diesbezüglich auch gerade eine Mail von Ledger erhalten.
Betroffen sind die Mail Adressen der Kunden.

Aber hatten wir darüber nicht schonmal gesprochen hier im Forum  Huh
Oder war das wieder ein anderer data breach. Kommt mir so bekannt vor.

Sind nicht nur die Mailadresse, teilweise auch die Postadressen u. Telefonnummern. Also durchaus lukrativ für Verbrecher. Wissen wer Cryptos hält und wo er wohnt.

Na da bin ich aber froh, das ich meinen Ledger aus einem Gewinnspiel erhalten habe Wink
newbie
Activity: 6
Merit: 1
Ledger Newsletter.
Beim Bug-Bounty-Programm wurde eine Lücke entdeckt:

Diesbezüglich auch gerade eine Mail von Ledger erhalten.
Betroffen sind die Mail Adressen der Kunden.

Aber hatten wir darüber nicht schonmal gesprochen hier im Forum  Huh
Oder war das wieder ein anderer data breach. Kommt mir so bekannt vor.

Sind nicht nur die Mailadresse, teilweise auch die Postadressen u. Telefonnummern. Also durchaus lukrativ für Verbrecher. Wissen wer Cryptos hält und wo er wohnt.
sr. member
Activity: 1498
Merit: 360
You work in Insurance? Message me.
Ledger Newsletter.
Beim Bug-Bounty-Programm wurde eine Lücke entdeckt:

Diesbezüglich auch gerade eine Mail von Ledger erhalten.
Betroffen sind die Mail Adressen der Kunden.

Aber hatten wir darüber nicht schonmal gesprochen hier im Forum  Huh
Oder war das wieder ein anderer data breach. Kommt mir so bekannt vor.
Ja ich meine mich zu errinern, dass es damals um ein fehlerhafte eCommerce Wordpress Plugin ging über das Kundendaten von Ledger und Trezor rausgetragen wurden.
legendary
Activity: 1232
Merit: 1257
Ledger Newsletter.
Beim Bug-Bounty-Programm wurde eine Lücke entdeckt:

Diesbezüglich auch gerade eine Mail von Ledger erhalten.
Betroffen sind die Mail Adressen der Kunden.

Aber hatten wir darüber nicht schonmal gesprochen hier im Forum  Huh
Oder war das wieder ein anderer data breach. Kommt mir so bekannt vor.
staff
Activity: 2548
Merit: 2709
Join the world-leading crypto sportsbook NOW!
Ledger Newsletter.
Beim Bug-Bounty-Programm wurde eine Lücke entdeckt:

Quote
What happened
On the 14th of July 2020, a researcher participating in our bounty program made us aware of a potential data breach on the Ledger website. We immediately fixed this breach after receiving the researcher’s report and underwent an internal investigation. A week after patching the breach, we discovered It had been further exploited on the 25th of June 2020, by an unauthorized third party who accessed our e-commerce and marketing database – used to send order confirmations and promotional emails – consisting mostly of email addresses, but with a subset including also contact and order details such as first and last name, postal address, email address and phone number. Your payment information and crypto funds are safe.

To be as transparent as possible, we want to explain what happened. An unauthorized third party had access to a portion of our e-commerce and marketing database database through an API Key. The API key has been deactivated and is no longer accessible.
Quelle: https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach

Alle weiteren Infos, was genau betroffen war und wie es weiter geht ist im Blog nachzulesen Wink
Pages:
Jump to: