Nova violação da Ledger não roubou as suas criptomoedas, mas expôs informações que levam criminosos violentos à sua porta

Os clientes da Ledger acordaram no dia 5 de janeiro com um e-mail que ninguém quer ver: os seus nomes e informações de contacto tinham sido expostos através de uma violação na Global-e, um processador de pagamentos de terceiros.

A empresa esclareceu o que não tinha sido comprometido: nenhum cartão de pagamento, nenhuma senha e, criticamente, nenhuma frase de recuperação de 24 palavras. O hardware permaneceu intocado, o firmware seguro, o armazenamento da frase-semente intacto.

Para uma violação de dados, este é o melhor cenário possível. Exceto que em cripto, uma etiqueta de envio vazada pode ser o primeiro passo num funil de phishing ou, em raros piores cenários, uma batida à porta.

A vulnerabilidade real não é a carteira

O BleepingComputer relatou que os atacantes acederam aos dados de encomendas dos compradores do sistema de computação nuvem da Global-e, copiando nomes, endereços postais, e-mails, números de telefone e detalhes de encomendas.

Trata-se de uma "violação da pilha de comércio", na qual nenhuma chave criptográfica foi tocada, nenhum dispositivo foi comprometido por backdoor e nenhuma exploração derrotou o elemento seguro da Ledger.

O que os atacantes obtiveram é mais prático: uma lista de contactos fresca e de alta qualidade de proprietários confirmados de carteiras de hardware com endereços de envio residenciais.

Para operadores de phishing, estes são dados de segmentação de nível de infraestrutura. A carteira de hardware fez o seu trabalho, mas o aparato comercial circundante forneceu aos atacantes tudo o que precisavam.

A Ledger já viveu isto antes. Em junho de 2020, um atacante explorou uma Chave da API mal configurada para aceder à base de dados de comércio eletrónico da empresa. Um milhão de endereços de e-mail foram expostos, e 272.000 registos incluíam nomes completos, endereços postais e números de telefone.

A Bitdefense caracterizou-o como uma "oportunidade de ouro para burlões".

Os ataques não foram subtis. Avisos falsos de violação instavam os utilizadores a "verificar" frases de recuperação em sites clonados, e atualizações fraudulentas do Ledger Live forneciam coletores de credenciais.

Alguns e-mails de extorsão ameaçavam invasões domiciliares, tornadas credíveis pela posse dos atacantes dos endereços das vítimas e compras de carteiras confirmadas.

Um conjunto de dados que nunca para de dar

As fugas de informações de identificação pessoal (PII) em cripto têm uma durabilidade invulgar.

A lista da Ledger de 2020 não ficou desatualizada. Em 2021, criminosos enviaram por correio dispositivos "de substituição" fisicamente adulterados para endereços da base de dados. As embalagens seladas com papel timbrado falso instruíam as vítimas a introduzir frases de recuperação em hardware modificado concebido para extrair frases-semente.

Em dezembro de 2024, o BleepingComputer documentou uma nova campanha de phishing usando assuntos "Alerta de Segurança: A Violação de Dados Pode Expor a Sua Frase de Recuperação".

Adicionalmente, o relatório de ameaças de 2025 da MetaMask observou que cartas físicas foram enviadas por correio postal para vítimas de 2020, em papel timbrado falso da Ledger, direcionando-as para linhas de apoio fraudulentas.

O conjunto de dados tornou-se uma presença permanente, reciclado através de e-mail, SMS e correio tradicional.

A violação da Global-e entrega aos atacantes uma nova versão da mesma arma. O aviso da Ledger antecipa explicitamente isto: esperem phishing aproveitando a fuga, verifiquem todos os domínios, ignorem sinais de urgência, nunca partilhem a vossa frase de 24 palavras.

Quando o phishing evolui para ameaças físicas

A fuga de 2020 nunca comprometeu um dispositivo Ledger, mas normalizou o tratamento de listas de clientes como inputs para crimes graves. A Bitdefender observou e-mails de resgate usando endereços vazados para ameaçar invasões domiciliares. A Ledger removeu 171 sites de phishing nos primeiros dois meses.

Relatórios documentam roubos físicos, invasões domiciliares e raptos em escalada destinados a extrair chaves privadas em França, Estados Unidos, Reino Unido e Canadá.

Um incidente francês envolveu o rapto em janeiro de 2025 do cofundador da Ledger, David Balland, e da sua parceira, durante o qual os atacantes cortaram um dedo enquanto exigiam resgate.

Fugas anteriores da Ledger provocaram ataques de coerção física, com relatórios argumentando que o aumento de ataques violentos contra executivos de cripto se correlaciona com violações na Ledger, Kroll e Coinbase que expuseram os detalhes de utilizadores de elevado património líquido.

Os criminosos juntam bases de dados vazadas com registos públicos para perfilar e localizar alvos.

A TRM Labs confirma o mecanismo: informações pessoais recolhidas online, como endereços e detalhes familiares, simplificaram o perfil de vítimas para invasões domiciliares, mesmo quando a tecnologia da carteira permanece não comprometida.

As autoridades policiais agora tratam fugas de PII específicas de cripto como ingredientes em extorsão violenta.

Como lidar com um problema de ecossistema

A Ledger não está sozinha. Quando a Kroll foi violada em agosto de 2023, os dados de credores da FTX, BlockFi e Genesis foram acedidos.

Processos judiciais alegam que a má gestão levou a e-mails diários de phishing falsificando portais de reclamações.

O padrão é consistente: fornecedores de terceiros detêm dados "não sensíveis" que se tornam sensíveis quando ligados à propriedade de ativos cripto. Um endereço de envio é metadados até ser anexado a uma encomenda de carteira de hardware.

A camada de comércio, consistindo em plataformas de Comerciante, CRMs e integrações de envio, cria mapas de quem possui o quê e onde os encontrar.

O conselho da Ledger é sólido: verifiquem domínios, ignorem urgência, nunca partilhem a vossa frase-semente. No entanto, investigadores de segurança sugerem expandir isto.

Os utilizadores com participações de alto valor devem considerar ativar a funcionalidade de frase-passe opcional, uma 25.ª palavra que existe apenas na memória. Adicionalmente, os utilizadores devem rodar as suas informações de contacto periodicamente, usar endereços de e-mail únicos para compras de carteiras e monitorizar tentativas de troca de SIM.

A exposição de endereços acarreta risco offline. A minimização de entregas, como reencaminhamento de correio, endereços comerciais e locais de recolha, reduz a superfície para coerção física. Os ataques de coerção física permanecem estatisticamente raros, mas representam uma ameaça real e crescente.

O incidente da Global-e levanta questões sem resposta: Quantos clientes foram afetados? Que campos específicos foram acedidos? Outros clientes da Global-e foram comprometidos? Que registos rastreiam o movimento do intruso?

A indústria cripto precisa de repensar os riscos da sua infraestrutura de comércio. Se a autocustódia remove terceiros de confiança do controlo de ativos, entregar dados de clientes a plataformas de comércio eletrónico e processadores de pagamento cria mapas exploráveis de alvos.

A carteira de hardware pode ser uma fortaleza, mas as operações comerciais criam vulnerabilidades persistentes.

A violação da Global-e não vai hackear um único dispositivo Ledger. Não precisa. Deu aos atacantes uma lista fresca de nomes, endereços e prova de compra, que é tudo o necessário para lançar campanhas de phishing que durarão anos e, em casos raros, permitir crimes que não requerem contornar a encriptação.

A vulnerabilidade real não é o elemento seguro. É o rasto de papel que leva às portas dos utilizadores.

A publicação Nova violação da Ledger não roubou a sua cripto, mas expôs informações que levam criminosos violentos à sua porta apareceu primeiro no CryptoSlate.