Nuevo leak confirmado de Ledger. Esta vez a traves de Shopify

[hoagie]

Pues parece que ha habido otro leak de Shopify e incluye de nuevo los datos de Ledger...

"Ledger Security Notice


Dear client,
On December 23, 2020, Shopify, our e-commerce service provider, informed Ledger of an incident involving merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020. This is related to the incident reported by Shopify in September 2020, which concerns more than 200 merchants, but until December 21, 2020, Shopify had not identified this affected Ledger as well.
We were able to examine the stolen data together with a third party forensic firm to identify the impacted customers.
We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed.
We notified the French Data Protection Authority on December 26, 2020. We are continuing to work with Shopify and law enforcement on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s).
Thefts and attacks such as this cannot go uninvestigated or unprosecuted. We continue to work with law enforcement as well as private investigators on these cases, and we are adding more firepower by hiring additional private investigation capacity, adding experience and approaches to finding those responsible for these data thefts.
FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance.
If you would like more detail on the many steps we are taking to prevent such incidents in the future, please read this blog post.


Sincerely, Pascal Gauthier Ledger CEO"

Aqui teneis el link a Ledger con el update. La verdad es que ya empieza a ser de coña.

https://www.ledger.com/blog/update-e...e-the-scammers

[DesignerG5]

Pole y

[DesignerG5]

Se cumple lo de que nunca hay dos sin tres!

Trezor va aumentar mucho sus ventas

[kemical]

Joder, vaya inutiles

Al final va a resultar que la mejor opcion era comprarlo a traves de amazon

[rollback]

Me cago en su puta madre, me ha llegado ese email

[De Lezo]

Cita:

Originalmente Escrito por kemical

Joder, vaya inutiles

Al final va a resultar que la mejor opcion era comprarlo a traves de amazon

Yo lo hice así, pura suerte. ¿Donde se podían mirar los datos filtrados?

[Fogueres]

Cita:

Originalmente Escrito por hoagie

Pues parece que ha habido otro leak de Shopify e incluye de nuevo los datos de Ledger...

"Ledger Security Notice


Dear client,
On December 23, 2020, Shopify, our e-commerce service provider, informed Ledger of an incident involving merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records in April and June 2020. This is related to the incident reported by Shopify in September 2020, which concerns more than 200 merchants, but until December 21, 2020, Shopify had not identified this affected Ledger as well.
We were able to examine the stolen data together with a third party forensic firm to identify the impacted customers.
We regret to inform you that you are part of the customers whose detailed personal information was stolen by Shopify rogue agent(s). Specifically, your name and surname, detail of product(s) ordered, phone number and your postal address were exposed.
We notified the French Data Protection Authority on December 26, 2020. We are continuing to work with Shopify and law enforcement on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s).
Thefts and attacks such as this cannot go uninvestigated or unprosecuted. We continue to work with law enforcement as well as private investigators on these cases, and we are adding more firepower by hiring additional private investigation capacity, adding experience and approaches to finding those responsible for these data thefts.
FINALLY, keeping you secure is our reason for existing. We will soon release a technical solution that will remove the 24 words as the single pillar of the security of our hardware wallets and will open the door to funds insurance.
If you would like more detail on the many steps we are taking to prevent such incidents in the future, please read this blog post.


Sincerely, Pascal Gauthier Ledger CEO"

Aqui teneis el link a Ledger con el update. La verdad es que ya empieza a ser de coña.

https://www.ledger.com/blog/update-e...e-the-scammers

If you purchased a Ledger product after the end of June, 2020, or if you purchased your product outside of Ledger.com, your data was not exposed in these incidents.

El título puede llevar a confusión, shur, ya que parece que se han vuelto a filtrar datos de compras recientes y no es así.

[rollback]

Cita:

Originalmente Escrito por Fogueres

If you purchased a Ledger product after the end of June, 2020, or if you purchased your product outside of Ledger.com, your data was not exposed in these incidents.

El título puede llevar a confusión, shur, ya que parece que se han vuelto a filtrar datos de compras recientes y no es así.

No se habrán expuesto datos "recientes" pero se han expuesto datos que se creían no expuestos. Hijos de la gran puta..

[hoagie]

Cita:

Originalmente Escrito por Fogueres

If you purchased a Ledger product after the end of June, 2020, or if you purchased your product outside of Ledger.com, your data was not exposed in these incidents.

El título puede llevar a confusión, shur, ya que parece que se han vuelto a filtrar datos de compras recientes y no es así.

No es el mismo breach segun su info en la web eh?:

"Concerning the data breach discovered on July 14th We patched the breach on July 14th, 2020. On July 17th, 2020 we notified the French Data Protection Authority. We began conducting forensics with Orange Cyberdefense on July 20th, 2020. It was necessary and prudent to complete the investigation with Orange Cyberdefense and gather as many facts as possible before communicating the data breach to our customers.
As soon as we had the final report we sent an email to our entire email database on July 29th, 2020. We informed the media about the situation via a press release the same day. We filed a complaint with the French public prosecutor on August 5th, 2020.



Concerning the Shopify data breach
The investigation into the incident involving Shopify is ongoing and we will continue to update you as the situation unfolds. As of today: We notified the French Data Protection Authority on December 26th, 2020. After completing forensics with Orange Cyberdefense we informed all customers affected by this breach via email on January 13th, 2021. We continue to work with Shopify and prosecutors on the case; an investigation is already underway, led by the FBI and the RCMP. Ledger also reported the events to the French Public Prosecutor and filed a complaint against the rogue agent(s). We are continuing to work with Shopify using new internal processes to ensure enhanced security."

[Topitok]

Vaya vergüenza de compañía, lamentable

[arse960]

Y aún hay gente en este mismo foro recomendándoles....xd

[arse960]

De todos modos no viene mal para bajar algunos de las nubes....

Incluso empresas sin fugas como la de trezor.....siguen con incógnitas al respecto.

Es que si te da por desconfiar incluso los trasvases a tu wallet los haces a través de su web o applicacion, así que nadie te asegura al 100% que incluso la empresa no pueda hackearte esas conexiones.

Al final nadie es libre, porque estás atado a pasar no sólo por su dispositivo wallet, si no que estás atado a usar su plataforma para realizar la conexion con el blockchain, por lo tanto nada te puede salvar de un hackeo.

Yo al menos, así lo veo.

[hoagie]

Cita:

Originalmente Escrito por arse960

Y aún hay gente en este mismo foro recomendándoles....xd

A ver, el dispositivo funciona muy bien (yo tengo 3 y uno de ellos desde que salio). Otra cosa es que la empresa sean unos cafres y hagan todo lo demás mal.

[Emilio_F1]

Buenas. Yo llevo sin conectar mi Ledger Nano S al PC desde hace cerca de 3 años.


Me han llegado varios correos, en este tiempo, sobre supuestas filtraciones. No he querido tocar el USB nada para evitar mierdas. ¿Qúe me recomendáis hacer?


Edito. Comprado a finales de 2017 en la web oficial.

[hoagie]

Cita:

Originalmente Escrito por Emilio_F1

Buenas. Yo llevo sin conectar mi Ledger Nano S al PC desde hace cerca de 3 años.


Me han llegado varios correos, en este tiempo, sobre supuestas filtraciones. No he querido tocar el USB nada para evitar mierdas. ¿Qúe me recomendáis hacer?


Edito. Comprado a finales de 2017 en la web oficial.

El hardware no tiene ningún problema, puedes conectarlo tranquilo con el software oficial. Lo que tienes que tener cuidado es con los mail de phising y demás y NUNCA, NUNCA poner tu seed de 24 palabras en otro sitio que no sea la ledger. Hay programas que te dicen que lo metas para desbloquear blablabla

[Emilio_F1]

Cita:

Originalmente Escrito por hoagie

El hardware no tiene ningún problema, puedes conectarlo tranquilo con el software oficial. Lo que tienes que tener cuidado es con los mail de phising y demás y NUNCA, NUNCA poner tu seed de 24 palabras en otro sitio que no sea la ledger. Hay programas que te dicen que lo metas para desbloquear blablabla

Vale, vale... Eso sí que lo tenía (y tengo) claro.


Gracias!!!

[kemical]

Cita:

Originalmente Escrito por arse960

De todos modos no viene mal para bajar algunos de las nubes....

Incluso empresas sin fugas como la de trezor.....siguen con incógnitas al respecto.

Es que si te da por desconfiar incluso los trasvases a tu wallet los haces a través de su web o applicacion, así que nadie te asegura al 100% que incluso la empresa no pueda hackearte esas conexiones.

Yo al menos, así lo veo.

Pero si el codigo de trezor es open source

https://github.com/trezor

[taesie]

Yo ya estoy cambiando de número de teléfono por culpa de estos retrasados

[kemical]

Cita:

Originalmente Escrito por De Lezo

Yo lo hice así, pura suerte. ¿Donde se podían mirar los datos filtrados?

Busca en twitter, en su dia ahi los vi.

[citroen_ax]

Entonces han robado los mismos datos que ya les robaron a ledger ?

[De Lezo]

Cita:

Originalmente Escrito por Emilio_F1

Buenas. Yo llevo sin conectar mi Ledger Nano S al PC desde hace cerca de 3 años.


Me han llegado varios correos, en este tiempo, sobre supuestas filtraciones. No he querido tocar el USB nada para evitar mierdas. ¿Qúe me recomendáis hacer?


Edito. Comprado a finales de 2017 en la web oficial.

Si no vas a comprar ni vender que siga guardado pero vamos mientras lo uses como antes sólo con los programas de ledger no vas a tener problemas. Salvo actualizar el firm.

[ClassicCo]

Cita:

Originalmente Escrito por taesie

Yo ya estoy cambiando de número de teléfono por culpa de estos retrasados

El problema ppal de los filtrados es el domicilio, no?

[Doclp]

Parece que les ha mirado un tuerto a estos de Ledger

[mechego]

Esta última filtración ha sido por dos "infiltrados" que trabajaban en Shopify y que se dedicaron a robar datos de varios vendedores, aquí Ledger no tiene culpa de nada, al contrario de las otras filtraciones.

[taesie]

Cita:

Originalmente Escrito por ClassicCo

El problema ppal de los filtrados es el domicilio, no?

El domicilio, el nombre y apellidos, el número de teléfono y el email.

Eso está a la vista de todos los delincuentes y hackers del planeta. Imagínate la que pueden liar, desde hackearte email, duplicarte la sim, acostarte por teléfono o entrar en tu casa y buscar el ledger y las claves.

[ClassicCo]

Cita:

Originalmente Escrito por taesie

El domicilio, el nombre y apellidos, el número de teléfono y el email.

Eso está a la vista de todos los delincuentes y hackers del planeta. Imagínate la que pueden liar, desde hackearte email, duplicarte la sim, acostarte por teléfono o entrar en tu casa y buscar el ledger y las claves.

Pues del mío van a pillar poco. Habemos muchos tiesos lol

[victururu]

Cita:

Originalmente Escrito por kemical

Joder, vaya inutiles

Al final va a resultar que la mejor opcion era comprarlo a traves de amazon

yo eso hice hace 2 años y ni un solo correo, mis datos deben estar a salvo. Pero aun asi, no me fio ni un pelo de esta gente

[hoagie]

Cita:

Originalmente Escrito por taesie

Yo ya estoy cambiando de número de teléfono por culpa de estos retrasados

Yo hace tiempo aprendí que tenia que usar un móvil secundario virtual...que mi movil es 2FA de muchas cosas que tengo

[hoagie]

Cita:

Originalmente Escrito por taesie

El domicilio, el nombre y apellidos, el número de teléfono y el email.

Eso está a la vista de todos los delincuentes y hackers del planeta. Imagínate la que pueden liar, desde hackearte email, duplicarte la sim, acostarte por teléfono o entrar en tu casa y buscar el ledger y las claves.

Ojo, que en este ultimo es "merchant data. Rogue agent(s) of their customer support team obtained Ledger customer transactional records", Hay puede haber tarjetas de crédito de pago en la transacción, aun no han dicho qué incluye.

[Emilio_F1]

Cita:

Originalmente Escrito por De Lezo

Si no vas a comprar ni vender que siga guardado pero vamos mientras lo uses como antes sólo con los programas de ledger no vas a tener problemas. Salvo actualizar el firm.

Buenas, eso quería mirar...

He descargado, desde la web oficial de Ledger, el Ledger Live al PC (W10). No he visto cómo ni dónde actualizar el Firm del Nano S y tampoco he querido mirar mucho por lo mismo.

Debería actualizarlo o no? Y en tal caso, cómo?

Por cierto, descargar la app Live en el móvil ahora mismo no me.sirve de nada pues el cable que tengo es USB-Micro USB cuando necesitaría un USB C-Micro USB... Quiero recordarte si no me equivoco, que en su día Ledger decía yo como que su cable oficial (el suministrado) era "especial" para evitar hackeos.e.sonl y suena a magufada, de hecho igual hasta lo leí en algún foro mierder... El caso es que para hacerme con un cable.del.tipo que necesito ahora, veo que en la web oficial venden un "kit", con 3 tipos de cable, por 15€... y como necesito sólo 1.... pensé en comprarlo.en cualquier tienda.¿Qué hay de cierto en lo que comento? Valdría cualquier cable?

Gracias, shur.