Uwaga! Ledger chce dostępu do naszych haseł do portfeli krypto i wysyłać je korporacjom!

1 rok temu

Dziś (tj. 16.05.2023) Ledger, jeden z wiodących producentów sprzętowych portfeli kryptowalutowych („cold wallet”) służących jako dodatkowe zabezpieczenie dla naszych kryptowalut wprowadził kontrowersyjną aktualizację o numerze wersji 2.2.1. Nowe oprogramowanie „umożliwi” użytkownikom udostępnienie „fragmentów” swojego hasła złożonego z fraz seed partnerom firmy Ledger, którzy całkowicie altruistycznie i bez jakichkolwiek zastrzeżeń co do bezpieczeństwa i prywatności przechowają nasze hasła, pozwalając je odzyskać w razie gdybyśmy ich zapomnieli. W internecie rozpętała się burza.

Exciting update, Ledger has a new product, Ledger Recover, that’s launching soon: https://t.co/nT1VHnnSYz

🧵Here’s what Ledger Recover is and what it isn’t, explained by @P3b7_ & in the thread below. pic.twitter.com/RW1w07H6pK

— Ledger (@Ledger) May 16, 2023

Ledger chce wykuć Pierścień Władzy, ale użyje go do zbożnych celów

Nowa aktualizacja na pierwszy rzut oka brzmi niewinnie: uruchamiana jest nowa usługa Ledger Recover, która pozwoli użytkownikowi na dodatkową szansę w przypadku utraty hasła złożonego z fraz seed. Po prostu musi wyrazić zgodę („opt-in”) na nową funkcjonalność i firma przyjdzie mu z pomocą w momencie największej potrzeby. Wystarczy tylko identyfikacja (jak dowód osobisty / paszport). Sceptycy zastanowią się jednak, w jaki sposób dzieje się magia, czyli jak to wygląda „od kuchni”.

Źródło: Ledger

Otóż okazuje się, iż producent portfeli sprzętowych wyśle swoich partnerom biznesowym fragmenty naszego hasła podzielonego na trzy części, które w razie sytuacji alarmowej zostanie złożone do kupy. Nagle okazuje się, iż wcześniejsze zapewnienia Ledgera o tym, iż jesteśmy jedyną osobą która pilnuje naszych kryptowalut okazują się fałszywe.

Jeden pierścień by wszystkimi rządzić, jeden by wszystkie odnaleźć

Mudit Gupta, dyrektor ds. bezpieczeństwa danych w Polygon Labs, porównał sytuację do przemysłu telefonów komórkowych, gdzie utraty „bezpiecznych” danych mają miejsce regularnie. „Identity theft”, czyli łamanie zabezpieczeń polegających na weryfikacji tożsamości, to powszechność, a fakt iż Ledger wpadł na taki pomysł bardzo źle o nim świadczy.

Oh but it is secured by ID verification!

You know what else is secured by ID verification? Mobile number porting.

Do you know how many high profile sim jacking cases happen every day? Too many.

Anything secured by "ID verification" is inherently insecure. Too easy to fake.

— Mudit Gupta (@Mudit__Gupta) May 16, 2023

CEO Binance, Changpeng Zhao, także skomentował ruch producenta portfeli, kwestionując wcześniejsze zapewnienia Ledgera.

„A więc seedy mogą opuścić urządzenie? Brzmi zupełnie inaczej niż dotychczasowe „Twoje klucze nigdy nie opuszczają urządzenia” – stwierdził.

So the seed can leave the device now?

Sounds like a different direction than "your keys never leave the device". 🤷‍♂️

— CZ 🔶 Binance (@cz_binance) May 16, 2023

Inni postanowili poszukać wyjaśnień „u źródła” i postanowili zapytać firmy w serwisie Reddicie wprost: czy portfele Ledger umożliwiając taką funkcję posiadają wbudowany „backdoor”, czyli sekretne „tylne wejście” o którym użytkownicy nie mają pojęcia? Czy posiadała go wcześniej?

Współzałożyciel Ledgera o pseudonimie na Reddicie btchip odpisał po prostu:

„Po aktywowaniu tej funkcji urządzenie zabezpiecza hasło przez wysłanie go do trzech firm. Oczywiście można zamiast tego zabezpieczyć hasło własnoręcznie”.

Czy taka odpowiedź Was satysfakcjonuje? Mnie nie.

Portfel Ledger Nano S, zdjęcie własne

Producent miał wcześniej problemy z bezpieczeństwem

Cała sytuacja wybrzmiewa tym gorzej, iż Ledger miał już wcześniej problemy z przechowywaniem w bezpieczny sposób danych swoich użytkowników. W 2020 r. miał miejsce duży wyciek informacji osobistych, takich jak imiona, nazwiska i adresy. I choć producent twierdzi, iż luka została załatana niezwłocznie, to niesmak w ustach u wielu ludzi pozostał. Teraz producent postanowił de facto strzelić sobie w stopę.

Znany w branży inwestor o pseudonimie DCInvestor, skomentował: „ostatnią rzeczą jaką chcesz dać tym ludziom to swój klucz prywatny (do portfela – przyp. red.)”.

reminder that several years ago, Ledger leaked the name and home addresses for all of their customers via a data breach

the absolute last thing you want on their servers is your private key https://t.co/z89xxLS6ie

— DCinvestor (@iamDCinvestor) May 16, 2023

Co sądzicie o fukcjonalności Ledger Recovery i o samej firmie?

Idź do oryginalnego materiału