Pelanggaran Ledger Baru tidak mencuri kripto Anda, tetapi mengekspos informasi yang membawa penjahat kekerasan ke pintu Anda

Pelanggan Ledger terbangun pada 5 Januari dengan email yang tidak ingin dilihat siapa pun: nama dan informasi kontak mereka telah terekspos melalui pelanggaran di Global-e, pemroses pembayaran pihak ketiga.

Perusahaan mengklarifikasi apa yang tidak dikompromikan: tidak ada kartu pembayaran, tidak ada kata sandi, dan yang paling penting, tidak ada frasa pemulihan 24 kata. Perangkat keras tetap tidak tersentuh, firmware aman, penyimpanan seed tetap utuh.

Untuk pelanggaran data, ini adalah skenario terbaik. Kecuali dalam kripto, label pengiriman yang bocor bisa menjadi langkah pertama dalam corong phishing atau, dalam skenario terburuk yang jarang terjadi, ketukan di pintu.

Kerentanan sebenarnya bukan dompet

BleepingComputer melaporkan bahwa penyerang mengakses data pesanan pembeli dari sistem cloud Global-e, menyalin nama, alamat pos, email, nomor telepon, dan detail pesanan.

Ini adalah "pelanggaran commerce-stack," di mana tidak ada kunci kriptografi yang disentuh, tidak ada perangkat yang di-backdoor, dan tidak ada eksploitasi yang mengalahkan elemen aman Ledger.

Apa yang diperoleh penyerang lebih praktis: daftar kontak segar berkualitas tinggi dari pemilik dompet perangkat keras yang dikonfirmasi dengan alamat pengiriman rumah.

Bagi operator phishing, ini adalah data penargetan tingkat infrastruktur. Dompet perangkat keras melakukan tugasnya, tetapi aparatus komersial di sekitarnya memberikan penyerang semua yang mereka butuhkan.

Ledger telah mengalami ini sebelumnya. Pada Juni 2020, seorang penyerang mengeksploitasi kunci API yang salah konfigurasi untuk mengakses database e-commerce perusahaan. Satu juta alamat email terekspos, dan 272.000 catatan mencakup nama lengkap, alamat pos, dan nomor telepon.

Bitdefense mengkarakterisasinya sebagai "peluang emas bagi penipu."

Serangannya tidak halus. Pemberitahuan pelanggaran palsu mendesak pengguna untuk "memverifikasi" frasa pemulihan di situs web kloning, dan pembaruan Ledger Live palsu mengirimkan pengumpul kredensial.

Beberapa email pemerasan mengancam invasi rumah, dibuat kredibel oleh kepemilikan penyerang atas alamat korban dan pembelian dompet yang dikonfirmasi.

Dataset yang tidak pernah berhenti memberikan

Kebocoran informasi identitas pribadi (PII) dalam kripto memiliki daya tahan yang tidak biasa.

Daftar Ledger 2020 tidak kedaluwarsa. Pada 2021, penjahat mengirimkan perangkat "pengganti" yang dirusak secara fisik ke alamat dari dump tersebut. Paket yang dibungkus plastik dengan kop surat palsu menginstruksikan korban untuk memasukkan frasa pemulihan pada perangkat keras yang dimodifikasi yang dirancang untuk mengekstrak seed.

Pada Desember 2024, BleepingComputer mendokumentasikan kampanye phishing baru menggunakan baris subjek "Peringatan Keamanan: Pelanggaran Data Dapat Mengekspos Frasa Pemulihan Anda".

Selain itu, laporan ancaman MetaMask 2025 mencatat bahwa surat fisik dikirim melalui pos ke korban 2020, pada alat tulis Ledger palsu, mengarahkan mereka ke jalur dukungan palsu.

Dataset menjadi perlengkapan permanen, didaur ulang melalui email, SMS, dan surat tradisional.

Pelanggaran Global-e memberikan penyerang versi baru dari senjata yang sama. Peringatan Ledger secara eksplisit mengantisipasi ini: harapkan phishing yang memanfaatkan kebocoran, verifikasi semua domain, abaikan isyarat urgensi, jangan pernah bagikan frasa 24 kata Anda.

Ketika phishing lulus ke ancaman fisik

Kebocoran 2020 tidak pernah mengkompromikan perangkat Ledger, tetapi menormalkan memperlakukan daftar pelanggan sebagai input untuk kejahatan serius. Bitdefender mencatat email tebusan menggunakan alamat yang bocor untuk mengancam invasi rumah. Ledger menutup 171 situs phishing dalam dua bulan pertama.

Laporan mendokumentasikan peningkatan perampokan fisik, invasi rumah, dan penculikan yang bertujuan mengekstrak kunci pribadi di Prancis, Amerika Serikat, Inggris, dan Kanada.

Satu insiden Prancis melibatkan penculikan co-founder Ledger David Balland dan pasangannya pada Januari 2025, di mana penyerang memotong jari saat menuntut tebusan.

Kebocoran Ledger sebelumnya telah mendorong serangan wrench, dengan laporan yang berargumen bahwa lonjakan serangan kekerasan terhadap eksekutif kripto berkorelasi dengan pelanggaran di Ledger, Kroll, dan Coinbase yang mengekspos detail pengguna bernilai tinggi.

Penjahat menyatukan database yang bocor dengan catatan publik untuk membuat profil dan menemukan target.

TRM Labs mengkonfirmasi mekanisme tersebut: informasi pribadi yang dikumpulkan secara online, seperti alamat dan detail keluarga, telah menyederhanakan pembuatan profil korban untuk invasi rumah, bahkan ketika teknologi dompet tetap tidak dikompromikan.

Penegak hukum sekarang memperlakukan kebocoran PII khusus kripto sebagai bahan dalam pemerasan kekerasan.

Cara menangani masalah ekosistem

Ledger tidak sendirian. Ketika Kroll dilanggar pada Agustus 2023, data kreditor FTX, BlockFi, dan Genesis diakses.

Gugatan menuduh kesalahan penanganan menyebabkan email phishing harian yang memalsukan portal klaim.

Polanya konsisten: vendor pihak ketiga menyimpan data "tidak sensitif" yang menjadi sensitif ketika terikat dengan kepemilikan aset kripto. Alamat pengiriman adalah metadata sampai dilampirkan ke pesanan dompet perangkat keras.

Lapisan perdagangan, yang terdiri dari platform pedagang, CRM, dan integrasi pengiriman, menciptakan peta siapa yang memiliki apa dan di mana menemukannya.

Saran Ledger masuk akal: verifikasi domain, abaikan urgensi, jangan pernah bagikan seed Anda. Namun, peneliti keamanan menyarankan untuk memperluas ini.

Pengguna dengan kepemilikan bernilai tinggi harus mempertimbangkan untuk mengaktifkan fitur passphrase opsional, kata ke-25 yang hanya ada dalam memori. Selain itu, pengguna harus memutar informasi kontak mereka secara berkala, menggunakan alamat email unik untuk pembelian dompet, dan memantau upaya SIM-swap.

Paparan alamat membawa risiko offline. Minimalisasi pengiriman, seperti penerusan surat, alamat bisnis, dan lokasi pengambilan, mengurangi permukaan untuk paksaan fisik. Serangan wrench tetap jarang secara statistik tetapi mewakili ancaman nyata dan berkembang.

Insiden Global-e menimbulkan pertanyaan yang belum terjawab: Berapa banyak pelanggan yang terpengaruh? Bidang spesifik apa yang diakses? Apakah klien Global-e lainnya dikompromikan? Log apa yang melacak pergerakan penyusup?

Industri kripto perlu memikirkan kembali risiko infrastruktur perdagangannya. Jika penyimpanan mandiri menghapus pihak ketiga tepercaya dari kontrol aset, menyerahkan data pelanggan ke platform e-commerce dan pemroses pembayaran menciptakan peta target yang dapat dieksploitasi.

Dompet perangkat keras mungkin benteng, tetapi operasi bisnis menciptakan kerentanan yang persisten.

Pelanggaran Global-e tidak akan meretas satu perangkat Ledger pun. Tidak perlu. Itu memberikan penyerang daftar segar nama, alamat, dan bukti pembelian, yang merupakan semua yang diperlukan untuk meluncurkan kampanye phishing yang akan berjalan selama bertahun-tahun dan, dalam kasus yang jarang terjadi, memungkinkan kejahatan yang tidak memerlukan melewati enkripsi.

Kerentanan sebenarnya bukan elemen aman. Ini adalah jejak kertas yang mengarah ke pintu pengguna.

Postingan Pelanggaran Ledger baru tidak mencuri kripto Anda, tetapi mengekspos info yang mengarahkan penjahat kekerasan ke pintu Anda muncul pertama kali di CryptoSlate.