Esto es un ejemplo de supuesto sim swapping que afecta a un caso de un usuario de Ledger, pero que esta tan mal explicado, y que es tan incoherente, que no hay por dónde cogerlo: https://decrypt.co/55137/man-loses-27000-in-bitcoin-to-sim-swap-scam
No hay manera de ver si el caso tiene relación con el filtrado de información de clientes Ledger, pero en una parte del redactado, cita que la persona en cuestión fue contactada por supuestos empleados de Ledger, que verbalmente le indicaron que su cuenta estaba comprometida. La persona entregó su "contraseña y los números de identificación de la cuenta" al llamante (véase la incoherencia en lo que les entregó), tras lo cual le desplumaron 27K$ en bitcoin.
Haciendo un ejercicio de comprensión con el redactor, probablemente neófito en la materia, o perdido en la traducción, el llamante le pidió el mnemotécnico de 24 palabras, y luego lo reestableció en otra wallet (del tipo que sea) para clonar la original, pudiendo mover los bitcoins sin problemas.
Para esto no hace falta hacer realmente realizar un sim swapping, sino sencillamente llamar a personas de las listas, encontrar alguno que esté realmente pez, y proceder al timo del técnico que te resuelve el problema … de manera permanente …
Topic: Ledger SMS campaña de phishing – otra campaña de phishing mediante SMS en curso - page 2. (Read 783 times)
January 24, 2021, 09:37:50 AM
January 17, 2021, 08:49:19 AM
<…>
Probablemente sea una nueva estrategia de las compañías de Zuckerberg para que les facilites los datos, abriendo una línea comercial de venta a timadores de todo tipo …Veo que ya has visto el post sobre reclamos de compensaciones. Hay gente realmente experta en estos temas. Me refiero a particulares que se dan de alta en las listas robinson, y luego reclaman compensación por recibir información comercial de las compañías. Desconozco lo que sacan pero ahí están.
En el caso de Ledger, por ahora, los efectos laterales conocidos resultantes son principalmente el incremento del spam por correo electrónico, el spam por sms, y las llamadas directas por parte de supuestas empresas de inversión. Casos de Sim swapping creo haber leído uno (y puede ser coyuntural en el tiempo, y no causa/efecto), pero este último es un riesgo que te puede afectar, con independencia de tu pericia para esquivar casos de phishing multicanal.
January 17, 2021, 07:59:34 AM
Como han pasado ya 10 días desde que mandé todo el papeleo y he tenido 0 respuesta; estoy explorando la web de la aepd para ver si consigo encontrar alguna página donde pueda ver las reclamaciones en curso. Por ahora no he encontrado nada, asique supongo que el martes que tendré tiempo les llamaré para consultar....
Lo que si he encontrado mientras tanto, es esto:
Importante también añadir que he encontrado esto entre las cosas que NO puede hacer la AEPD; por si alguno estaba frotandose ya las manos. Sin embargo, supongo que si la propia agencia dictamina que si se han vulnerado los datos, a cualquiera interesado en dar ese siguiente paso a tribunales le hará las cosas mucho más fáciles.
Bueno, vengo a editar esto porque acabo de recibir uno de los mensajes de spam más divertidos de mi vida:
Podeis ir muriendoos de envidia, que mr zuckerberg me va a dar una millonada por mi cara bonita
Lo que si he encontrado mientras tanto, es esto:
Quote
El comercio online, así como cualquiera que en su nombre recoja o trate datos personales, está obligado a guardar secreto profesional. Esa obligación continúa incluso después de haber finalizado la relación comercial o contractual con él.En ningún caso pueden hacerse públicos los datos personales de los visitantes y clientes de un comercio online sin su consentimiento. Su publicación en internet de forma que sea accesible sin restricciones es una violación de la normativa vigente que puede ser denunciada ante la AEPD.
https://www.aepd.es/sites/default/files/2019-09/guia-compra-segura-digital-web.pdfImportante también añadir que he encontrado esto entre las cosas que NO puede hacer la AEPD; por si alguno estaba frotandose ya las manos. Sin embargo, supongo que si la propia agencia dictamina que si se han vulnerado los datos, a cualquiera interesado en dar ese siguiente paso a tribunales le hará las cosas mucho más fáciles.
Quote
Si lo que solicitas es una indemnización derivada del tratamiento de tus datos personales, puesto que en este caso debes acudir a los Tribunales
https://www.aepd.es/es/la-agencia/en-que-podemos-ayudarteBueno, vengo a editar esto porque acabo de recibir uno de los mensajes de spam más divertidos de mi vida:
Quote
My name is Mark Zuckerberg,A philanthropist the Co- founder and CEO of the social-networking website called Facebook,As well as one of the world's youngest billionaire's and Chairman of the Mark Zuckerberg Charitable Foundation which is also One of the largest private foundations in the world right now.I believe strongly in‘giving while living' I have one idea that never changed in my mind - that you should use your wealth to help people and i have decided to secretly give {$1,500,000.00} to randomly selected individuals worldwide. On the receipt of this email, You should count yourself as the lucky winner. Your email address was chosen online while searching at random.Kindly get back to me at your earliest convenience,so I know your email address is valid(-----) Email me. Visit the web page to know more about me: https://en.wikipedia.org/wiki/ Mark_Zuckerberg/ or you can Google me (Mark Zuckerberg)
Podeis ir muriendoos de envidia, que mr zuckerberg me va a dar una millonada por mi cara bonita
January 14, 2021, 03:24:58 AM
Ledger prepara un nuevo sistema de seguridad para datos
https://news.bit2me.com/ledger-prepara-nuevo-sistema-de-seguridad-para-datos
Quote
la compañía continúa señalando que cambiará la forma en la que la compañía recopilará y manejará los datos de los clientes. Por ejemplo, Ledger mantendrá los datos personales de usuarios y clientes durante el menor tiempo posible legalmente. Además también minimizará al máximo la visualización de los datos personales en correos electrónicos y moverá los datos necesarios hacia un entorno más segregado lo antes posible. Sumado a esto creará un canal seguro de comunicación y mensajería efectiva por medio de Ledger Live, que los usuarios podrán utilizar de forma confiable.
Quote
Según informó el nuevo jefe de seguridad de Ledger, Matt Johnson, que se unió a la compañía a mediados de diciembre, la empresa ya está preparada para lanzar nuevas medidas de seguridad que permitirán reforzar la protección de los datos de sus usuarios y clientes, y evitar futuros ataques y filtraciones como el que ocurrió entre los meses de junio y julio de 2020. Esta filtración de datos, que se realizó a las bases de datos de marketing y comercio electrónico de Ledger, dejó expuesta información personal y privada de más de 1 millón de usuarios de la compañía, que se han visto fuertemente afectados por ataques de phishing, donde los ciberdelincuentes buscan engañarlos para despojarlos de sus criptomonedas.
https://news.bit2me.com/ledger-prepara-nuevo-sistema-de-seguridad-para-datos
January 14, 2021, 03:03:53 AM
<…>
He estado mirando el tema un poco más, y por lo que he visto, diría que cuando compras en la página de Ledger, tus datos primero van a parar a la BD de Shopify, desde la cual presumiblemente se los remiten a Ledger para que los incorpore a su BD de clientes.Uno diría que Shopify actúa por tanto a modo de pasarela de datos, y que no tendría porqué retener los datos de los compradores de Ledger, dado que el usuario no puede interactuar más con estos datos (no hay ficha de cliente para ver ni editar). No obstante, la plataforma de Shopify si permite la gestión de Clientes, derivar perfiles de los mismos, etc.
Es decir, como plataforma, debe ser inherente almacenar los datos de los clientes, si bien algunas corporaciones que usen Shopify explotarán esta funcionalidad, y otros no (como es el caso de Ledger). Por tanto, aunque conceptualmente la plataforma de Shopify parece que podría dejar de tener los datos de los clientes de Ledger una vez finalizada la compra (y traspasados a Ledger), su estructura técnica probablemente lo almacena de manera inherente.
Como tal, las clausulas relativas al tratamiento de datos cubren esta posibilidad en su verborrea genérica, pero siendo realistas, ningún cliente es conocedor real de este hecho, ni se lo espera.
January 13, 2021, 11:55:51 AM
Parecen ser dos filtraciones (manda cojones, con perdón), pero con un 93% de coincidencia (yupi ..):
De verdad? Eso hace que sea bastante peor.... No solo les roban los datos en Abril; sino que además no los protegen y LOS VUELVEN A ROBAR poco mas de medio año despues? Te tienes que reir...
January 13, 2021, 11:51:11 AM
Parecen ser dos filtraciones (manda cojones, con perdón), pero con un 93% de coincidencia (yupi ..):
<…>
Pues sí … Ya no voy ni intentar decodificar la lógica de la API de Ledger, fuente de su filtrado, cuando los datos comerciales estaban en la plataforma de e-commerce (Shopify) – salvo que fuese la API de comunicación entre ambas plataformas. January 13, 2021, 11:38:00 AM
este comunicado es un intento de descarga de responsabilidad sobre Shopify
Resumiendo....Por lo que entiendo de todo este meollo con un poco de imaginación, es que lo que negaron de Shopify en un principio fue que la BD fuera real, al ser en principio de 2016, fecha en la cual no utilizaban esa aplicación
Quote
The hacker claims he hacked Ledger clients’ database through a Shopify exploit in 2016. While Ledger currently uses Shopify as a third party provider for its ecommerce operation, this was not the case back in 2016.
Parece ser que es un solo ataque, aunque no me termina de quedar clara la cosa. En principio, los datos de Ledger se obtuvieron mediante una API externa, pero en la información de shopify; son varios miembros del equipo de soporte los que procedieron al filtrado. Lo cual nos lleva a otra cuestión: Si el API externa era oficial, como lo pudieron detectar unos consultores externos? No estoy muy aplicado en estos temas, pero si el ataque vino de dentro, no veo como se podría detectar
Es en principio también el mismo conjunto de datos; aunque con 20.000 más que los que se publicaron en diciembre (que ahora parece hasta un numero pequeño y todo).
A ver que nos cuenta la AEPD cuando se pongan con ello....
January 13, 2021, 10:38:35 AM
Estos de Ledger parecen tener dificultades en saber gestionar los comunicados. Primero, diría que en Julio 2020, informar de un hackeo, minimizando el volumen de clientes impactados con datos personales (9.500) + 1M emails. Luego, en diciembre, informan que la cifra es de 272.00 (tras ver la BD en Raidforum).
Ahora, envían un nuevo comunicado relativo al breach de Shopify, que es su proveedor de e-comerce (al comprar en la página de Ledger, entiendo que va a través de Shopify). Por las fechas que indican en comunicado abajo citado, estamos hablando de los mismo (dicen que hasta el 21/12/2020 no supieron que Ledger era de los productos sobre los cuales se extrajo información desde Shopify – la fecha es la misma que la oficialización del hackeo tras Raidforum).
O me he perdido algo, o el comunicado abajo citado no referencia el recibido el 21/12/2020 por parte de las personas perjudicadas. Si hablan de lo mismo, deberían explicitarlo, e indicar que este comunicado es un intento de descarga de responsabilidad sobre Shopify. Si son dos cosas distintas, ¿son conjuntos distintos con posibles coincidencias? ¿Es un hackeo o dos?
Hablan de que Shopify se lo comunicó el día 23/12/2020, lo cual no me cuadra con el segundo comunicado, que fue anterior (del 21/12/2020).
O estoy espeso, o tienen problemas de comunicación …
En su momento, dijeron que lo de Shopify no les afectaba (ver https://www.ledger.com/our-ecommerce-database-has-not-been-hacked). Tururú …
Ahora, envían un nuevo comunicado relativo al breach de Shopify, que es su proveedor de e-comerce (al comprar en la página de Ledger, entiendo que va a través de Shopify). Por las fechas que indican en comunicado abajo citado, estamos hablando de los mismo (dicen que hasta el 21/12/2020 no supieron que Ledger era de los productos sobre los cuales se extrajo información desde Shopify – la fecha es la misma que la oficialización del hackeo tras Raidforum).
O me he perdido algo, o el comunicado abajo citado no referencia el recibido el 21/12/2020 por parte de las personas perjudicadas. Si hablan de lo mismo, deberían explicitarlo, e indicar que este comunicado es un intento de descarga de responsabilidad sobre Shopify. Si son dos cosas distintas, ¿son conjuntos distintos con posibles coincidencias? ¿Es un hackeo o dos?
Hablan de que Shopify se lo comunicó el día 23/12/2020, lo cual no me cuadra con el segundo comunicado, que fue anterior (del 21/12/2020).
O estoy espeso, o tienen problemas de comunicación …
Quote
Dear client,
On December 23, 2020, Shopify, our e-commerce service provider, informed Ledger of an incident involving merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020. This is related to the incident reported by Shopify in September 2020, which concerns more than 200 merchants, but until December 21, 2020, Shopify had not identified this affected Ledger as well.
We were able to examine the stolen data together with a third party forensic firm to identify the impacted customers.
We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed.
We notified the French Data Protection Authority on December 26, 2020. We are continuing to work with Shopify and law enforcement on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s).
Thefts and attacks such as this cannot go uninvestigated or unprosecuted. We continue to work with law enforcement as well as private investigators on these cases, and we are adding more firepower by hiring additional private investigation capacity, adding experience and approaches to finding those responsible for these data thefts.
FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance.
If you would like more detail on the many steps we are taking to prevent such incidents in the future, please read this blog post.
Sincerely,
Pascal Gauthier
Ledger CEO
On December 23, 2020, Shopify, our e-commerce service provider, informed Ledger of an incident involving merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020. This is related to the incident reported by Shopify in September 2020, which concerns more than 200 merchants, but until December 21, 2020, Shopify had not identified this affected Ledger as well.
We were able to examine the stolen data together with a third party forensic firm to identify the impacted customers.
We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed.
We notified the French Data Protection Authority on December 26, 2020. We are continuing to work with Shopify and law enforcement on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s).
Thefts and attacks such as this cannot go uninvestigated or unprosecuted. We continue to work with law enforcement as well as private investigators on these cases, and we are adding more firepower by hiring additional private investigation capacity, adding experience and approaches to finding those responsible for these data thefts.
FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance.
If you would like more detail on the many steps we are taking to prevent such incidents in the future, please read this blog post.
Sincerely,
Pascal Gauthier
Ledger CEO
En su momento, dijeron que lo de Shopify no les afectaba (ver https://www.ledger.com/our-ecommerce-database-has-not-been-hacked). Tururú …
January 07, 2021, 09:16:14 AM
Estos días ha bajado mucho la intensidad de los intentos de phishing/smishing sobre la BD de Ledger. Hay más entradas en la bandeja de Spam que antes, pero con todo tipo de pretextos distantes del ámbito cripto. Ya regresarán supongo …
En lo relativo a la BD filtrada, algunos fueron algo hábiles, y dejaron como teléfono de contacto el del diablo (66666xx).
Por curiosidad, he mirado la BD de emails para ver qué dominios son los más populares: Del 1.075.382 emails, el top 10 es:
Los más privados que usan protonmail representa el 10,89%, mientras que el más popular, gmail, representa el 53,5% …
En lo relativo a la BD filtrada, algunos fueron algo hábiles, y dejaron como teléfono de contacto el del diablo (66666xx).
Por curiosidad, he mirado la BD de emails para ver qué dominios son los más populares: Del 1.075.382 emails, el top 10 es:
Code:
gmail.com 575419
hotmail.com 82308
yahoo.com 60114
outlook.com 13948
protonmail.com 11719
icloud.com 10414
aol.com 9427
gmx.de 9115
web.de 8274
mail.ru 8099
hotmail.com 82308
yahoo.com 60114
outlook.com 13948
protonmail.com 11719
icloud.com 10414
aol.com 9427
gmx.de 9115
web.de 8274
mail.ru 8099
Los más privados que usan protonmail representa el 10,89%, mientras que el más popular, gmail, representa el 53,5% …
January 07, 2021, 08:21:02 AM
Y eso es todo por ahora; en palabras de la persona escuchando mis quejas, los de Ledger "han preparado una monumental", y "es casi imposible que no les caiga un paquete* (y de eso se va a encargar la AEPD)"
*Cuando hablo de que la compañia tenga que pagar, no me refiero a pagarnos a nosotros los afectados (que no estaria nada mal, pero bueno) sino que a multas y diversas sanciones por las ineptitudes que han demostrado tener a la hora de operar con información tan sensible
*Cuando hablo de que la compañia tenga que pagar, no me refiero a pagarnos a nosotros los afectados (que no estaria nada mal, pero bueno) sino que a multas y diversas sanciones por las ineptitudes que han demostrado tener a la hora de operar con información tan sensible
Al final, poco positivo creo que puede salir de aquí... todo sea que lo de las multas no sea un mero "farol" y que Ledger, ahogada por las críticas y también económicamente, acabe dejando de darnos soporte algún día.
Tenía pensado crear un hilo ad hoc, porque en este seguramente se pierda, pero bueno por no duplicar lo escribo aquí: fruto de la curiosidad, y gracias a un tercero bastante mas hábil que yo con los ordenadores, he podido comprobar que no estoy en la infame base de datos que se ha filtrado (sí está mi mail en la otra base de datos, de newsletter, pero me parece peccata minuta comparado con la filtración de direcciones, o números de teléfono). Si alguien está preocupado y quiere salir de dudas sobre cuáles de sus datos se han podido filtrar, que me escriba por privado.
January 07, 2021, 07:37:32 AM
Pues como ya he avanzado en otro hilo, tenia cita para entregar la documentación hoy a la mañana. Estoy sumamente aterrado por la gestión de papeleo en la administración pública; me he quedado sin palabras.
Lo primero, ya había comentado que solo tenía 3 opciones de enviarlo: web con certificado digital (no tengo), correo postal, o en un ente gubernamental para que se lo "hicieran llegar". El "hacernoslo llegar" suponía que sería por correo postal, pero no podía estar más equivocado. Literalmente he entregado los papeles, les han quitado las grapas, los han escaneado, y los han enviado escaneados (me han devuelto los de papel por lo menos). Además, leyendo el justificante, el motivo de mi denuncia segun la persona de ventanilla es "denuncia notificaciones de los denominados SMS phishing"; ninguna mención a un robo masivo de datos personales...
Supongo que me tocará llamarles, y explicar que la persona de ventanilla no era precisamente "user-friendly" y que puso lo que le dio la gana
Lo primero, ya había comentado que solo tenía 3 opciones de enviarlo: web con certificado digital (no tengo), correo postal, o en un ente gubernamental para que se lo "hicieran llegar". El "hacernoslo llegar" suponía que sería por correo postal, pero no podía estar más equivocado. Literalmente he entregado los papeles, les han quitado las grapas, los han escaneado, y los han enviado escaneados (me han devuelto los de papel por lo menos). Además, leyendo el justificante, el motivo de mi denuncia segun la persona de ventanilla es "denuncia notificaciones de los denominados SMS phishing"; ninguna mención a un robo masivo de datos personales...
Supongo que me tocará llamarles, y explicar que la persona de ventanilla no era precisamente "user-friendly" y que puso lo que le dio la gana
December 30, 2020, 04:11:11 AM
<…>
En lo relativo a la política de Trezor, habría que saber bien cómo lo cocinan. Comprendo lo de anonimizar los datos tras 90 días como se haría, pero no quiere decir que la anomización sea irreversible. Me explico: La compra devenga en una factura, y éstas tienen un plazo legal de conservación. Mínimo deben poder casar los datos durante el periodo de garantía del producto (1 o 2 años según el país). En España se han de conservar 4 años.
Pongamos que sea 1 año por ir al caso menor. Si uno reclama algo respecto de su dispositivo, Ledger ha de poder contrastar los datos de factura, luego los datos, de alguna manera, están allí, sea:
- Porque lo mueven de la BD de e-commerce (que es la que dicen anonimizar) a la BD de facturas.
- O por tener ya de por sí las dos BD, y la borran de una, pero están en la otra.
- O por anonimizar mediante encriptación, lo cual es reversible con la clave de desencriptación.
- Posiblemente accesibles para alguna API.
No descarto que realmente anonimicen los datos de manera irreversible, pero no me lo creo simplemente por el archivo de facturas que deben tener de manera legal, con los datos del cliente.
Luego no nos pensemos que sólo debe preocupar lo que está online. Todas las copias de seguridad son susceptibles de ser potencialmente robadas/hackeadas. Ahí dependerá de su política de copias y rescate, y cómo de bien están protegidas.
La política de privacidad de Ledger es la siguiente: https://shop.ledger.com/pages/privacy-policy
Efectivamente, la información filtrada es un cúmulo de, cuanto menos, dos años y medio de datos (te diré …). En teoría se originó a partir de una API con demasiados permisos para un tercero (si no recuerdo mal).
December 29, 2020, 04:54:43 PM
He estado siguiendo esta situación por algún tiempo y una pregunta que se me vino a la mente es que esta pasando con el competidor de Ledger? Y revisando su blog me encontré con esta noticia.
https://blog.trezor.io/phishing-attacks-are-targeting-trezor-users-4edac4cb96fa
Al parecer ni siquiera los usuarios de Trezor están a salvo porque los hackers han inferido que si tienes una cartera como Ledger es probable que también tengas una Trezor, lo que no acabo de entender es que al parecer Trezor tiene una política de anonimizar la información de sus clientes en 90 días o incluso borrarla si así se solicita antes de ese plazo, alguien sabe cuál era la política de privacidad de Ledger? Porque dudo mucho que toda esta información que se ha filtrado sea información de los últimos meses, esta es información que probablemente han recolectado durante años.
https://blog.trezor.io/phishing-attacks-are-targeting-trezor-users-4edac4cb96fa
Al parecer ni siquiera los usuarios de Trezor están a salvo porque los hackers han inferido que si tienes una cartera como Ledger es probable que también tengas una Trezor, lo que no acabo de entender es que al parecer Trezor tiene una política de anonimizar la información de sus clientes en 90 días o incluso borrarla si así se solicita antes de ese plazo, alguien sabe cuál era la política de privacidad de Ledger? Porque dudo mucho que toda esta información que se ha filtrado sea información de los últimos meses, esta es información que probablemente han recolectado durante años.
December 29, 2020, 01:41:14 PM
Pues al final he conseguido la tarde de hoy para tirar en comisaria por este tema, y no sorprendentemente, he salido con las manos casi vacias.
Resumiendo un poco:
-Solo puedo denunciar las cosas cuando ya han pasado, por lo que da igual que a la mitad de la lista les haya llegado un mensaje del estilo "se donde vives, pagame para que no te de una paliza", que hasta que no lo reciba yo, no hay nada que hacer (lo mismo con swim swapping y demases).
-En la AEPD SI que se pueden hacer cosas, e invito al resto de afectados a presentar su correspondiente escrito explicando lo que ha pasado y como os está afectando personalmente. El problema del COVID+Navidades es que hasta el 7 de enero no me daban cita para aportar todos los datos en papel, pero que ahí si que hay por donde rascar.
Y eso es todo por ahora; en palabras de la persona escuchando mis quejas, los de Ledger "han preparado una monumental", y "es casi imposible que no les caiga un paquete* (y de eso se va a encargar la AEPD)"
*Cuando hablo de que la compañia tenga que pagar, no me refiero a pagarnos a nosotros los afectados (que no estaria nada mal, pero bueno) sino que a multas y diversas sanciones por las ineptitudes que han demostrado tener a la hora de operar con información tan sensible
Resumiendo un poco:
-Solo puedo denunciar las cosas cuando ya han pasado, por lo que da igual que a la mitad de la lista les haya llegado un mensaje del estilo "se donde vives, pagame para que no te de una paliza", que hasta que no lo reciba yo, no hay nada que hacer (lo mismo con swim swapping y demases).
-En la AEPD SI que se pueden hacer cosas, e invito al resto de afectados a presentar su correspondiente escrito explicando lo que ha pasado y como os está afectando personalmente. El problema del COVID+Navidades es que hasta el 7 de enero no me daban cita para aportar todos los datos en papel
, pero que ahí si que hay por donde rascar.Y eso es todo por ahora; en palabras de la persona escuchando mis quejas, los de Ledger "han preparado una monumental", y "es casi imposible que no les caiga un paquete* (y de eso se va a encargar la AEPD)"
*Cuando hablo de que la compañia tenga que pagar, no me refiero a pagarnos a nosotros los afectados (que no estaria nada mal, pero bueno) sino que a multas y diversas sanciones por las ineptitudes que han demostrado tener a la hora de operar con información tan sensible
December 29, 2020, 07:55:36 AM
<…>
Ahora creo que cada día o dos a lo sumo, hay una nueva variante, y no específicamente con una temática Ledger de trasfondo. Como he dicho en algún momento, no hay una BD de cripto mejor que éste par de Ledger, que va a ser utilizada para phishing, smishing, sim swapping y márketing de cualquier producto, con o sin el pretexto de Ledger de por medio.Tengo un correo reciente en la bandeja de Spam que cita que puedes reclamar tu Bitcoin SV, con una serie de enlaces que ya sabemos de qué van. Ahora, todo kiski va a provechar una u otra lista para sus fines, con todo tipo de pretextos, comunicándose tanto con los correos electrónicos como los teléfonos por medio de SMS (y esperemos que se quede allí).
December 29, 2020, 07:29:58 AM
Además de los típicos intentos baratos de SMS e email de robarme datos, he recibido el siguiente mensaje que ha ido también directo al spam:
Ha llegado un punto en el que te tienes que reir por no poder hacer más...
En otras tintas, las benditas navidades no me han permitido coger una cita para presentar EN PAPEL todos los documentos que tengo que mandar a la AEPD, asique la cosa va para largo con eso. A ver si saco por lo menos tiempo antes de enero para pasar por comisaria, que por lo menos vaya empezando la cosa a moverse
Quote
Hola Amigo/a,
Toda tu información personal esta circulando online después de que la empresa
Ledger Nano sufriese un hack y filtración de toda su base de datos.
Seguramente habrás recibido muchos emails de ciber-criminales pidiendote que
introduzcas tu “seed phrase” en páginas phishing (porfavor, NUNCA hagas esto)
Igual piensas que estas son las únicas consecuencias de este atentado contra tu
privacidad, pero existen más implicaciones que debes de conocer hoy mismo para
protegerte ante ellas.
Hablo sobre las consecuencias que tiene esta filtración de tus datos personales
aquí:
https://enlacechungo
Saludos,
Luigi Domenico
Toda tu información personal esta circulando online después de que la empresa
Ledger Nano sufriese un hack y filtración de toda su base de datos.
Seguramente habrás recibido muchos emails de ciber-criminales pidiendote que
introduzcas tu “seed phrase” en páginas phishing (porfavor, NUNCA hagas esto)
Igual piensas que estas son las únicas consecuencias de este atentado contra tu
privacidad, pero existen más implicaciones que debes de conocer hoy mismo para
protegerte ante ellas.
Hablo sobre las consecuencias que tiene esta filtración de tus datos personales
aquí:
https://
Saludos,
Luigi Domenico
Ha llegado un punto en el que te tienes que reir por no poder hacer más...
En otras tintas, las benditas navidades no me han permitido coger una cita para presentar EN PAPEL todos los documentos que tengo que mandar a la AEPD, asique la cosa va para largo con eso. A ver si saco por lo menos tiempo antes de enero para pasar por comisaria, que por lo menos vaya empezando la cosa a moverse
December 28, 2020, 06:38:26 AM
Pues francamente, soy incapaz de verlo. Figura "Blockchain" en mayúsculas como remitente, y no logro dar con la opción que visualice el número del emisor subyacente. He visto un usuario del foro alemán que lo ha recibido procedente de un teléfono con prefijo de inglaterra. Me imagino que pueden "spoofear" el origen.
Hay otro uso curioso que están haciendo de estas listas, en este caso de la lista de correos electrónicos, que es hacer publicidad de una moneda alternativa, que no viene a cuento, pero bueno, ya puestos a tener al alcance de la mano 1M de emails de interesados/dueños de criptomonedas, que mejor que hacer publicidad sobre esta lista …
Hay otro uso curioso que están haciendo de estas listas, en este caso de la lista de correos electrónicos, que es hacer publicidad de una moneda alternativa, que no viene a cuento, pero bueno, ya puestos a tener al alcance de la mano 1M de emails de interesados/dueños de criptomonedas, que mejor que hacer publicidad sobre esta lista …
December 28, 2020, 05:46:10 AM
----
Te ha llegado desde un numero nacional? Me llego ayer por la tarde y aparte de reirme no hice mucho, pero al ser un +34 creo que hay donde rascar por intento de estafa December 28, 2020, 04:38:13 AM
Ahora están aprovechando la lista de teléfonos que circula a fin de hacer smishing de productos cruzados. Concretamente, el SMS que ahora circula indica lo siguiente:
No sólo no es el dominio (IO) el oficial, sino que además la "I" fijaros que es realmente una "L" minúscula, y es un pelín más alta -> "Il" (la primera es una I mayúscula, la segunda una "L" minúscula.
Atentos pues …
Quote
"You have received 0.08155120 BTC, please login and confirm: HTTPS[colon]//BLOCKCHAlN [dot]IO
No sólo no es el dominio (IO) el oficial, sino que además la "I" fijaros que es realmente una "L" minúscula, y es un pelín más alta -> "Il" (la primera es una I mayúscula, la segunda una "L" minúscula.
Atentos pues …
Jump to: