de
Zurück zur Liste

Sind Hardware-Wallets noch sicher? Im Umfeld zweier Hersteller gab es massive Datenpannen


www.crypto-news-flash.com 05 April 2022 08:25, UTC
Lesezeit: ~3 Min.

  • Die E-Commerce-Plattform Shopify und der Hardware-Wallet-Hersteller Ledger stehen vor einer großen rechtlichen Hürde, da eine Gruppe von Ledger-Nutzern eine Sammelklage wegen ihres Versagens bei der Verhinderung einer massiven Datenpanne im Jahr 2020 eingereicht hat.
  • Hardware-Wallet-Hersteller Trezor leitete die Untersuchung einer möglichen Datenverletzung ein, die E-Mail-Adressen und andere personenbezogene Daten von Kunden gefährdet haben könnte.

Der E-Commerce-Händler Shopify, der auch Cold Wallets für Kryptowährungen verkauft, sieht sich mit einer Klage von Ledger-Nutzern konfrontiert. Cold Wallets sind physische Geräte, die dazu beitragen, die Sicherheit bei der Speicherung von Kryptowährungen zu erhöhen. Die Klage wurde am 1. April beim US-Bezirksgericht in Delaware eingereicht und wirft Shopify wiederholtes, massives Versagen beim Datenschutz seiner Kunden vor.

Mehr zum Thema: Nuvei Partners with Ledger to Offer Direct Crypto On-Ramp for Millions of Users

Details der Klage

Shopify und das externe Beratungsuntenehmen TaskUS sind in vollem Umfang für das Leck von personenbezogenen Daten der Kunden verantwortlich. Den Klägern zufolge wussten Shopify und TaskUS von der Datenpanne, verheimlichten sie aber  eine Woche lang.
Derzeit fordert die Staatsanwaltschaft die Offenlegung der Art des Datenverlusts und eine finanzielle Entschädigung für materielle und imaterielle Schäden. In der Klage heißt es:

„Trotz der wiederholten Versprechungen und der weltweiten Werbekampagne, in der die unübertroffene Sicherheit für die Kunden angepriesen wurde, versagten Ledger und seine die Kundendaten verarbeitenden Dienstleister Shopify und TaskUs wiederholt und auf ganzer Linie beim Datenschutz ihrer Kunden, was zu gezielten Angriffen auf die Krypto-Assets tausender Kunden führte und auch dazu, dass die Kläger weit weniger Sicherheit erhielten, als sie glaubten, mit ihren Ledger-Wallets erworben zu haben.“

Ledger bestritt zunächst, persönliche Daten von Kunden weitergegeben zu haben, räumte aber bald ein, dass personenbezogene Daten kompromittiert wurden. Ledger nutzte Shopify, um sein Online-Geschäft zu betreiben. Diese Kooperation erforderte naturgemäß den Zugriff auf personenbezogene Daten der Ledger-Kunden durch TaskUS und Shopify.
Die Hacker waren in der Lage, personenbozogene Daten von etwa 272.000 Ledger-Kunden und mehr als eine Million E-Mail-Adressen von Ledger-Newsletter-Abonnenten zu stehlen, was in der Folge zu einer weltweiten Phishing-Kampagne führte.

Trezor untersucht massive Datenschutz-Verletzung

Auch Trezor, ein weiterer Hersteller von Hardware-Wallets wurde mit dem Vorwurf in Verbindung gebracht, persönliche Daten von Kunden weitergegeben zu haben. Trezor meldete ein Leck von personenbezogenen Kundendaten auf MailChimp-Plattform, über die das Unternehmen Marketing-Newsletter verschickt. Die Angreifer nutzten die erbeuteten Kunden-Informationen für einen Phishing-Angriff: Trezor-Kunden erhielten eine E-Mail, in der sie aufgefordert wurden, die Software ihrer Wallets zu aktualisieren. Die E-Mails kamen von „trezor.us“ – die offizielle Domain ist aber „trezor.io“. Trezor-Vertreter teilten dazu mit:

„MailChimp hat bestätigt, dass ihr Dienst von einem Insider kompromittiert wurde, der es auf Kryptounternehmen abgesehen hatte. Wir sind dabei, zu ermitteln, wie viele E-Mail-Adressen betroffen sind.“

Trezor weigerte sich, Marketing-E-Mails zu versenden, bis die Situation geklärt war. Den Kunden wurde geraten, keinerlei E-Mails zu öffnen, die im Namen des Unternehmens verschickt worden waren.

We will not be communicating by newsletter until the situation is resolved.
Do not open any emails appearing to come from Trezor until further notice. Please ensure you are using anonymous email addresses for bitcoin-related activity. 2/

— Trezor (@Trezor) April 3, 2022


   Quelle
Zurück zur Liste