„Ungemütlicher wurde, dass ich nicht nur Emails erhalten habe, sondern auch SMS und, vor allem, Anrufe.“
Seit die Ledger-Datenbank geleakt wurde, ist frohes Fishing auf die User angesagt. Bild von massimo bianchi via flickr.com. Lizenz: Creative Commons
In letzter Zeit erhalten immer mehr Bitcoiner unerwünschte Anrufe aus Großbritannien, Österreich, Brasilien oder Deutschland. Dies ist eine der unangenehmen Folgen des Ledger-Leaks, bei dem die privaten Daten von 270.000 Bitcoin-Usern veröffentlicht wurden. Wir haben uns umgehört, wie sehr die deutsche Krypto-Szene betroffen ist – und spekulieren, wie es dazu kommen konnte.
Spam-Emails gehören mittlerweile zum Alltag. Wenn man die eigene Email-Adresse nicht selbst im Netz veröffentlicht hat, gab es sicherlich mal einen Hack des Providers oder eines Shops, bei dem man sie eingereicht hat. Die meisten Internetuser haben daher mittlerweile gelernt, Mails zu löschen, wenn sie ankündigen, dass man eine Menge Geld gewonnen habe, bei einer Transaktion mithelfen solle oder beim Ansehen von schmutzigen Pornos erwischt wurde.
Der Ledger-Hack im vergangenen Jahr hat das Spiel jedoch auf ein neues Level gebracht. Im Sommer vergangenen Jahres wurde die Kundendatenbank des französischen Herstellers von Hardware-Wallets gehackt. In ihr waren nicht nur die Email-Adressen von rund 270.000 Kunden, sondern auch deren Postanschrift und Telefonnummer.
Kurz vor Weihnachten haben die Hacker nun diese Datenbank in einem Darknet-Forum „gedumpt“, also einfach so veröffentlicht. Warum sie das getan haben, ist weiterhin ein Rätsel. Fakt ist aber, dass mit diesem Zug Kriminelle und Hacker Zugriff erhielten auf die privaten Daten von rund 270.000 Besitzern von Bitcoins und anderen Kryptowährungen.
Die Ledger-Wallet ist günstig und extrem beliebt, weshalb so gut wie jeder, der sich mit Bitcoins und anderen Kryptowährungen beschäftigt, ein Exemplar besitzt. Nach einer kurzen Fage in der deutschen Kryptoszene auf Twitter meldeten sich innerhalb einiger Stunden etwa 20 Leute bei mir, die von dem Hack betroffen sind, daneben kenne ich weitere 5 Personen, und in einem Thread im Coinforum melden sich auch zahlreiche Opfer zu Wort. Das dürfte nur die Spitze des Eisbergs sein. So gut wie jeder besitzt eben eine Ledger-Wallet.
Von denen, die eine Ledger-Wallet haben, sind die meisten, aber nicht alle betroffen. Warum das so ist, ist nicht genau bekannt; es wird spekuliert, dass es mit dem Zeitpunkt des Kaufs zusammenhängt. So sind mir etwa Leute bekannt, die 2017 oder 2018 eine Ledger gekauft haben, ohne nach dem Leak belästigt zu werden. Soweit ich weiß, sind die Datenbanken, die veröffentlicht wurde, aber vollständig, weshalb diese Erklärung nicht viel Sinn ergibt. Vielleicht ist es einfach nur Zufall? Pech und Glück?
Mails und Anrufe
Schon im Sommer begann eine ausgefeilte Phishing-Mail herumzugehen: Angeblich informierte Ledger über einen Sicherheitsvorfall und forderte den User auf, eine neue Version der Wallet herunterzuladen. Die Mail war gut gefälscht, lediglich ein Blick auf den Absender zeigte, dass sie nicht von „ledger.com“ kam, sondern von „legder.com“.
Seitdem die Daten veröffentlicht wurden, hat sich die Frequenz dieser Mails vervielfacht: Fluten von Spam-Mails, mit Angeboten zu Kryptowährungen, Lottogewinnen, reichen Erben, Königinnen aus Nigeria und so weiter. Wer eine Ledger-Wallet hat, hat hoffentlich einen guten Spam-Filter.
Gefährlicher sind jedoch die Mails, die so tun, als wären sie von Ledger, und die dazu noch das Sicherheitsbedürfnis des Users gegen diesen wenden: So kopieren Betrüger Mails, die Ledger tatsächlich versendet hat, ändern darin aber natürlich einen Link; oder sie informieren den User über unbefugte Logins oder ausgehende Transaktionen. Und natürlich versuchen Hacker auch, in die Mail-Konten der User einzudringen. Ein Betroffener erzählte mir, dass es seit der Veröffentlichung der Daten jede Woche 100 Versuche gibt, sein Email-Passwort zu erraten.
Aber die Mails selbst sind nur das geringste Übel. „Ungemütlicher wurde es natürlich dadurch, dass ich nicht nur Emails erhalten habe, sondern auch SMS und, vor allem, Anrufe“, erzählt ein vom Leak Betroffener. Er erhielt mehrere SMS, die beispielsweise den Start von „Ledger DeFi“ ankündigten und LGR-Token versprachen, Infos über unbefugte Logins, und ein Alarm darüber, dass vom Ledger-Konto Bitcoins abgebucht wurden.
Am beunruhigendsten waren aber die Anrufe, die dann folgten. „Das geht ein bißchen tiefer, wenn man plötzlich mit einer echten Person redet.“ Die Anrufe kamen von Festnetzapparaten aus Bonn und Berlin. „Ich wollte wissen, was dahintersteckt und habe Fragen gestellt, ohne dass ich selbst etwas bestätigt habe, weder wie ich heiße noch dass ich etwas mit Kryptowährungen zu tun habe.“ Doch er fand nur heraus, dass sich die Anrufer als jemand von einer Trading-Börse ausgaben; als sie bemerkten, dass sie nichts erreichen würden, legten sie rasch auf.
Eine der erstaunlichsten Facetten der Ledger-Hacks ist, wie viele kriminelle Organisation offenbar versuchen, die Daten auszunutzen. So habe ich in der kurzen Umfrage erfahren, dass die meisten Betroffenen auch von Anrufen belästigt werden, allerdings von vielen unterschiedlichen Telefonnummern: Handynummern aus Deutschland, Festnetznummern aus Österreich, oft aus Großbritannien, manchmal aus Brasilien und manchmal aus Spanien. Manche Anrufer geben sich wie im Fall oben als Tradingplattform aus, andere legen sofort auf, nachdem man sich meldet, so, als wollten sie nur prüfen, ob die Nummer aktiv ist. Die Frequenz der Anrufe variiert dabei stark: Manche berichten von mehr als 10 Anrufen am Tag, andere von nur wenigen Anrufen insgesamt.
Die meisten Bitcoiner, von denen ich weiß, wimmeln solche Anrufe sofort ab, wenn sie überhaupt rangehen. Daher habe ich keine Infos dazu, welches Geschäftsmodell hinter den Anrufen steckt. Eventuell versuchen sie, die Kontonummer der Betroffenen herauszufinden, um dann per Lastschrift Geld abzubuchen.
Einen Bericht habe ich auch über eine SMS, die auf ein abgeschlossenes Abo hinweist und eventuell versucht, einen dazu zu bringen, eine Art Zahlungseinzug zu erlauben. Dies trat bisher nur einmal auf, was erneut auf die vielen Facetten der Nutzung der Daten hinweist.
Nervtötend bis bedrohlich
Für viele Bitcoiner werden diese Anrufe und Mails langsam zu einer Belästigung. Einige haben sich eine neue Handynummer zugelegt. Andere denken darüber nach, geben die gewohnte und vertraute Nummer aber nur ungern auf und fürchten, danach von alten Bekannten nicht mehr erreichbar zu sein. In manchen Fällen kann man die Telefonnummern, von denen man belästigt wird, gut blockieren, in anderen sind es so viele, dass man kaum mehr hinterherkommt.
Viele haben sich neue Mailaccounts zugelegt. Manche sind nur genervt, andere etwas beängstigt und sorgen sich etwa vor Sim-Swaps. Nicht jeder ist ein Sicherheitsexperte, aber nach den Ledger-Leaks hat jeder einen Grund, sich um seine Sicherheit sorgen.
Im englischsprachigen Reddit-Forum r/ledgerwalletleaks werden Sim-Swaps zunehmend diskutiert. Der Angreifer versucht dabei, beim Mobilfunkanbieter die Sim-Karte für die Telefonnummer ersetzen zu lassen, was es ihm erlaubt, mit der Nummer SMS zu empfangen und zu versenden. Die Kenntnis des Namens und der Postanschrift sind selbstveständlich von großem Vorteil, wenn man sich für jemand anderes ausgibt. Gerade wenn man durch eine SMS die 2-Faktor-Autorisierung nutzt, um sich bei Banken und Börsen anzumelden, kann ein Sim-Swap schlimme Konsequenzen nach sich ziehen.
Auf Reddit wird empfohlen, sich beim Mobilfunkanbieter eine PIN geben zu lassen, welche für alle Änderungen in Bezug zur Sim-Karte notwendig ist. Bisher scheint es relativ wenige Sim-Swaps von Ledger-Besitzern zu geben, auf Reddit werden allerdings einige erwähnt.
Aber jenseits der Sim-Swaps lauert eine weitere Bedrohung, die noch gruseliger ist: „Ein anderes Thema ist die Befürchtung von realen Attacken, da ja auch die Wohnadresse geleakt wurde,“ schrieb mir jemand. „Hier bin ich immer noch am schauen, wie ich mich und die Familie bestmöglich schützen kann. Auch wenn die Wahrscheinlichkeit nicht sehr hoch ist.“ Ähnlich ein anderer Betroffener: „Viel mehr Sorgen [als die Mails] bereitet mir das Wissen darüber, dass meine Adresse ebenfalls dabei ist. Mit Familie macht das schon mehr Kopfzerbrechen.“
Aus englischsprachigen Foren sind Mails bekannt, in denen die Postadresse genannt und gedroht wird, einen unangenehmen Besuch zu erhalten, falls man nicht einen bestimmten Betrag in Bitcoin bezahlt. Solche Mails weisen nicht unbedingt auf eine echte Gefahr hin, sind aber doch sehr beunruhigend.
Bisher ist mir nicht bekannt, dass in der deutschen Bitcoin-Szene jemand aufgrund des Ledger-Hacks mit Gewalt bedroht wurde. Mein oben erwähnter Gesprächspartner macht sich deswegen wenig Sorgen: „Es gibt mehr als 200.000 Namen in der Datenbank, und nicht jeder davon ist automatisch reich. Wenn jemand wirklich so kriminell ist, dass er zu jemandem nach Hause fährt, kann er gleich in ein Viertel gehen, in dem reiche Leute wohnen. Ich denke, eine SMS ist schnell versendet, aber ein Besuch – da ist die Hemmschwelle um ein Vielfaches größer.“
Dennoch werden Betrugsanrufe und Spammails natürlich noch unangenehmer, wenn man weiß, dass diejenigen, die versuchen, einen abzuziehen, auch wissen, wo man wohnt. Wer seit der Bestellung eines Ledgers umgezogen ist, wird sich vermutlich sicherer fühlen.
Wie konnte das geschehen?
Viele fragen sich zurecht, wie das passieren konnte. Gerade ein Unternehmen wie Ledger, das Hardware-Wallets herstellt, die die privaten Schlüssel um jeden Preis vom Internet trennen – gerade ein solches Unternehmen wird gehackt, und gerade bei einem solchen Unternehmen erbeuten die Hacker eine Datenbank, in der die kompletten Kundendaten stehen. Wer wenn nicht Ledger sollte wissen, wie man sich vor einem solchen Vorfall schützt?
Jedem, der ein wenig über das Thema nachdenkt, fallen Dutzende Methoden ein, wie dies zu verhindern gewesen wäre: Ledger könnte die privaten Daten nach der Auslieferung löschen. Es gibt keinen Grund, weshalb das Unternehmen die Adresse und die Telefonnummer nun noch braucht – falls es die Telefonnummer jemals benötigt hat. Und falls die Aufsicht oder das Finanzamt Ledger zwingt, die Adressen zu behalten – warum speichert es sie dann nicht offline, so, wie die privaten Schlüssel für Bitcoins? Oder warum verschlüsselt Ledger sie nicht wenigstens so, dass der zum Entschlüsseln benötigte Schlüssel offline liegt?
Die französische Firma warnt ihre Kunden vor Phishing-Mails und dokumentiert ihr bekannte Spam-Kampagnen. Nachdem sie zunächst eher defensiv mit dem Hack umging, hoffend, dass er nicht so viel Staub aufwirbeln wird, beginnt sie nun, transparenter zu agieren. Sie entschuldigt sich bei den Kunden, weist darauf hin, niemals den Seed irgendwo einzugeben und warnt vor Mails, die aussehen, als kämen sie von Ledger.
Wie es jedoch geschehen konnte, dass alle Daten in einer Datenbank mit Verbindung zum Netz lagen, erklärte die Firma meines Wissens jedoch bislang nicht. Es könnte daran liegen, dass Ledger keinen eigenen Shop verwendet, sondern den Drittanbieter Shopify; im vergangenen Jahren haben zwei Angestellte von Shopify die Kundendaten von 200 Online-Händlern gestohlen.
Das führt zu einer etwas ironisch-tragischen Situation. Der Hersteller von Hardware-Wallets, die private Schlüssel um jeden Preis vom Internet und jeder anderen Partei fernhalten, vertraut die privaten Daten seiner Kunden einer unsicheren dritten Partei an. „Ich denke das Problem war“ erzählt einer der Betroffenen, „dass sich Ledger als ein Online-Shop verstanden hat, der etwas verkauft, anstatt wie eine Bank. Banken schützen die Kundendaten ja ebenso wie Guthaben, das sollte ein Händler von Hardware-Wallets auch tun.“
Die Ledger-Leaks könnten ein Warnschuss für die ganze Branche sein, Kundendaten nicht länger wie andere Online-Shop zu behandeln. „Andere Anbieter reagieren jetzt auch darauf, etwa ColdCard, die sind aus Kanada. Sie müssen etwa die Email-Adresse behalten, löschen künftig aber rasch die Postadressen und Telefonnummern. Aber das sie es erst jetzt machen, zeigt mir, dass es bei ihnen ebenso passieren konnte wie bei Ledger.“ Vielleicht haben die Leaks so auch etwas Gutes – was für die Betroffenen freilich kaum ein Trost sein drüfte.
Kann man irgendwie sicher prüfen ob man davon betroffen ist?
Wenn du keine Ledger-Fake-Emails und Anrufe bekommst, hast du gute Chancen, nicht betroffen zu sein.
Andererseits sind deine Daten mit ziemlicher Sicherheit im Netz, wenn du mal bei Ledger bestellt hast.
Soeben hat mich eine neue E-Mail von Ledger erreicht, dass meine Daten (explizit mein(e) Vor-/Nachname, gekauftes Produkt, Anschrift und Telefonnummer) auch im Shopify-Vorfall im vergangenen September enthalten waren, bei dem von rund 200 Shopify-Händlern Kundendaten abgezogen wurden.
es ist nervig…..während ich diesen Artikel lese bekomme ich wieder Anrufe. Es ist nicht zu fassen, was Ledger uns da eingebrockt hat.
Prüfen kann man über das Hasso Plattner Institut
https://sec.hpi.de/ilc/search
oder über die Seite Have I been pwned
https://haveibeenpwned.com/
„Es gibt keinen Grund, weshalb das Unternehmen die Adresse und die Telefonnummer nun noch braucht – falls es die Telefonnummer jemals benötigt hat.“
Und genau das ist der Grund, warum ich die Frage nach meiner Telefonnummer immer mit einer offensichtlich falschen (z. B. 000000000, bevorzugt sofort erkennbar als Blödsinn) oder einer nicht offensichtlich falschen (nicht vergebenen, zu lang oder kurze die einer Prüfung des Shops besteht) Nummer beantworte.
Der Shop braucht es nicht, der Postbote ebenso wenig.
Ich erhalte täglich >10 Spam Ledger E-Mails, jedoch (warum auch immer 😉 ) keine Anrufe.
Danke für die beiden Link‘s zur Prüfung
Ich hatte Glück, dass ich meine Ledger über den offiziellen Amazon Shop gekauft habe.
Man soll ja nicht woanders kaufen um manipulierte Ledger auszuschließen, aber der offizielle Amazon Shop erschien mir ausreichend sicher.
Auch ich fand die Idee einer Hardware-Wallet interessant vor Allem weil soviele verschiedene Coins speichern kann. Aber als ich das Registrierungs-Formular sah kam ich schnell wieder davon ab. Ledger ist nicht vertrauenswürdig da es schlicht KEINEN Grund das Gerät online registrieren zu müssen und mit seiner persönlichen Daten zu verbinden. Firmware-Updates lassen sich auch per Datei einspielen.
Selbst wenn Ledger die Daten 100%ig sicher speichern würde wäre die Erfassung nur nachteilig, denn ab einer bestimmten Menge verkaufter Geräte hat eine solche Datenbank einfach einen Wert und es nur eine Frage der Zeit bis Jemand sie kopiert.
Wer kommt eigentlich für die Kosten auf, die durch eine neue Mobilnummer (die alte besser vorerst nicht kündigen) etc. entstehen?
Ich bin ebenfalls betroffen und finde mich im Artikel sehr gut wieder. Ich habe meinen Ledger Nano S 2017 gekauft. Ich erhalte schon ziemlich lange Spam-Mails, die teilweise echt richtig gut sind. Seit November 2020 bekomme ich auch regelmäßige SMS. Da geht es um offene Transaktionen, angebliche Logins aus China (mehrfach kamen die SMS tatsächlich nachdem ich mich in ledger live eingeloggt habe. Das kann nur Zufall gewesen sein, fand ich dennoch scary).
Seit 05.01.2021 bekomme ich nun stündlich mehrere Anrufe auf dem Handy. Zuerst waren es nur Nummern +43 und mit einheitlicher Vorwahl aber unterschiedlichen Durchwahlen – einfach zu blockieren. Dann kamen individuelle Nummern aus +41 und Deutschland dazu. Quer durch die Bundesrepublik verteilt. Seit Anfang dieser Woche erhalte ich auch stündlich mehrfache Anrufe von Handynummern. Ich bin an keinen dieser Anrufe rangegangen. Den ersten Anruf von einer Handynummer habe ich zurückgerufen, weil ich dachte, dass es eine Weiterleitung vom Büro-Telefon war. Der Mensch auf der anderen Seite hatte keine Ahnung wer ich war und hat mich versichert nicht telefoniert zu haben. Ich gehe hier von Call ID Spoofing an. Fun fact: Am Wochenende ist bislang immer Ruhe gewesen.
Wegen meiner Anschrift mache ich mir keine Sorgen. Ich bin seitdem umgezogen. Die Spam E-Mails und SMS sind mir sowas von egal. Aber dieser Telefonterror nervt und belastet. Ich werde wohl schweren Herzens meine Handynummer wechseln. Die Anrufe werden eher mehr als weniger, was wohl an der Verbreitung dieses Datensatzes liegen dürfte.
@Christoph Bergmann: Wenn ihr das weiter verfolgen oder recherchieren möchtet, dann kannst du mich gerne per Mail kontaktieren.
Das ist ja ätzend. Irre, wie viele Leute betroffen sind, und wie extrem der Telefonterror bei manchen ausfällt. Ich hoffe, der Handynummer-Wechsel wird nicht allzu viele Schmerzen bereiten.
Ich behelfe mir im Moment mal mit der App „Clever Dialer“. Die blockiert zumindest die bekannten Spam-Anrufe automatisch. Im März läuft ohnehin mein Handyvertrag aus und da werde ich dann wohl meine Nummer wechseln.
Was ich im Kommentar vergessen habe zu erwähnen: Danke für die Recherche und Berichterstattung dazu. Das ist ein toller Beitrag!
Ich bin auch betroffen und erhalte mehrmals täglich von der selben +49 32…. Nummer Anrufe. https://de.wikipedia.org/wiki/Vorwahl_032_(Deutschland)
Ich blocke solche Anrufe sofort mit der „Anrufer blockieren“-Funktion meines iPhones, normalerweise funktioniert das auch und es ist Ruhe.
Komischerweise kommen die Anrufe der schon blockierten Rufnummer denoch durch. Kennt das Problem noch jemand oder wüsste Rat wie ich diese doch blockieren könnte?
Jameson Lopp führt Buch über bekanntgewordene physische Attacken – das hat aber nichts direkt mit dem Ledger-Hack zu tun, ist aber gut, auf dem Laufenden zu sein: https://github.com/jlopp/physical-bitcoin-attacks/blob/master/README.md
Wer Englisch spricht, sollte unbedingt den Beitrag von Andreas Antonopoulos zum Ledger-Hack auf Youtube sehen, – der deckt alle Aspekte ab (er selbst ist auch betroffen).
Ja Mails lösche ich schon unterbewusst und die sms ebenfalls. Anrufe aus dem Ausland oder in meinem Fall mit Stuttgarter Vorwahl (keine Ahnung warum Stuttgart) nehme ich mittlerweile nicht mehr an. Am Anfang habe ich das noch getan da ich dachte Stuttgart könnte eine Behörde o.ä. den. Meistens waren es dann undeutlich sprechende Leute die einem irgendwas von diversen Tradingplatformen erzählt haben. Also quasi Telefonmarketing.
Danke Ledger für diese Unterhaltung in der sonst so langweiligen Coronazeit.
Ach Herr Bergmann,
ich gehe davon aus dass meine Mail-Adresse die ich hier immer angegeben habe bei Ihnen sicher verwahrt wird/wurde. Oder?
Ich habe nichts mit der Mail-Adresse gemacht, und mir ist auch nicht bekannt, dass der Server jemals gehackt wurde, wenn das weiterhilft.
Vielen Dank für den Artikel. litebit.eu wurde auch 2017 gehackt, was mich auch sehr verärgert hat. Es könnte neben Name, E-Mail-Adresse, Bankverbindung, Wohnadresse auch (!) Portfoliobestände abgegriffen worden sein.
https://www.bleepingcomputer.com/news/security/litebit-bitcoin-exchange-hacked-twice-in-two-months/
Danke für die ausführliche Zusammenfassung. Nachdem immer weitere Informationen zu dem Leck kommen, habe ich es nun satt und habe mich nun bei https://www.kleinfee.com/ledger-datenleck/ angemeldet, um meine Ansprüche auf Schadensersatz durchzusetzen.
Dass etwas gehackt wird ist bei digitalen Währungen halt immer das Risiko. Ich bin auch auf einer Kryptobörse angemeldet, aber wenn ich auf lange Sicht anlege schicke ich meine Coins immer auf mein Hardware Wallet.
Es ist bitter, dass ausgerechnet einer Firma, welche sich der Sicherheit ihrer Kunden verschrieben hat, so was unterlaufen ist. Eine E-Mail-Adresse kann man wechseln, aber bei Anschrift oder Telefonnummer wird es hingegen deutlich schwieriger.