1 rok temu
Dziś (tj. 16.05.2023) Ledger, jeden z wiodących producentów sprzętowych portfeli kryptowalutowych („cold wallet”) służących jako dodatkowe zabezpieczenie dla naszych kryptowalut wprowadził kontrowersyjną aktualizację o numerze wersji 2.2.1. Nowe oprogramowanie „umożliwi” użytkownikom udostępnienie „fragmentów” swojego hasła złożonego z fraz seed partnerom firmy Ledger, którzy całkowicie altruistycznie i bez jakichkolwiek zastrzeżeń co do bezpieczeństwa i prywatności przechowają nasze hasła, pozwalając je odzyskać w razie gdybyśmy ich zapomnieli. W internecie rozpętała się burza.
Exciting update, Ledger has a new product, Ledger Recover, that’s launching soon: https://t.co/nT1VHnnSYz
🧵Here’s what Ledger Recover is and what it isn’t, explained by @P3b7_ & in the thread below. pic.twitter.com/RW1w07H6pK
Ledger chce wykuć Pierścień Władzy, ale użyje go do zbożnych celów
Nowa aktualizacja na pierwszy rzut oka brzmi niewinnie: uruchamiana jest nowa usługa Ledger Recover, która pozwoli użytkownikowi na dodatkową szansę w przypadku utraty hasła złożonego z fraz seed. Po prostu musi wyrazić zgodę („opt-in”) na nową funkcjonalność i firma przyjdzie mu z pomocą w momencie największej potrzeby. Wystarczy tylko identyfikacja (jak dowód osobisty / paszport). Sceptycy zastanowią się jednak, w jaki sposób dzieje się magia, czyli jak to wygląda „od kuchni”.
Źródło: LedgerOtóż okazuje się, iż producent portfeli sprzętowych wyśle swoich partnerom biznesowym fragmenty naszego hasła podzielonego na trzy części, które w razie sytuacji alarmowej zostanie złożone do kupy. Nagle okazuje się, iż wcześniejsze zapewnienia Ledgera o tym, iż jesteśmy jedyną osobą która pilnuje naszych kryptowalut okazują się fałszywe.
Jeden pierścień by wszystkimi rządzić, jeden by wszystkie odnaleźć
Mudit Gupta, dyrektor ds. bezpieczeństwa danych w Polygon Labs, porównał sytuację do przemysłu telefonów komórkowych, gdzie utraty „bezpiecznych” danych mają miejsce regularnie. „Identity theft”, czyli łamanie zabezpieczeń polegających na weryfikacji tożsamości, to powszechność, a fakt iż Ledger wpadł na taki pomysł bardzo źle o nim świadczy.
Oh but it is secured by ID verification!
You know what else is secured by ID verification? Mobile number porting.
Do you know how many high profile sim jacking cases happen every day? Too many.
Anything secured by "ID verification" is inherently insecure. Too easy to fake.
CEO Binance, Changpeng Zhao, także skomentował ruch producenta portfeli, kwestionując wcześniejsze zapewnienia Ledgera.
„A więc seedy mogą opuścić urządzenie? Brzmi zupełnie inaczej niż dotychczasowe „Twoje klucze nigdy nie opuszczają urządzenia” – stwierdził.
So the seed can leave the device now?
Sounds like a different direction than "your keys never leave the device". 🤷♂️
Inni postanowili poszukać wyjaśnień „u źródła” i postanowili zapytać firmy w serwisie Reddicie wprost: czy portfele Ledger umożliwiając taką funkcję posiadają wbudowany „backdoor”, czyli sekretne „tylne wejście” o którym użytkownicy nie mają pojęcia? Czy posiadała go wcześniej?
Współzałożyciel Ledgera o pseudonimie na Reddicie btchip odpisał po prostu:
„Po aktywowaniu tej funkcji urządzenie zabezpiecza hasło przez wysłanie go do trzech firm. Oczywiście można zamiast tego zabezpieczyć hasło własnoręcznie”.
Czy taka odpowiedź Was satysfakcjonuje? Mnie nie.
Portfel Ledger Nano S, zdjęcie własneProducent miał wcześniej problemy z bezpieczeństwem
Cała sytuacja wybrzmiewa tym gorzej, iż Ledger miał już wcześniej problemy z przechowywaniem w bezpieczny sposób danych swoich użytkowników. W 2020 r. miał miejsce duży wyciek informacji osobistych, takich jak imiona, nazwiska i adresy. I choć producent twierdzi, iż luka została załatana niezwłocznie, to niesmak w ustach u wielu ludzi pozostał. Teraz producent postanowił de facto strzelić sobie w stopę.
Znany w branży inwestor o pseudonimie DCInvestor, skomentował: „ostatnią rzeczą jaką chcesz dać tym ludziom to swój klucz prywatny (do portfela – przyp. red.)”.
reminder that several years ago, Ledger leaked the name and home addresses for all of their customers via a data breach
the absolute last thing you want on their servers is your private key https://t.co/z89xxLS6ie
Co sądzicie o fukcjonalności Ledger Recovery i o samej firmie?
