Ledger Live śledzi swoich użytkowników. Jakie dane zapisuje to oprogramowanie?

Producent portfeli sprzętowych ma za sobą ciężki rok. W jego trakcie doszło do wielu poważnych "wtop" wizerunkowych tej firmy, a dwa tygodnie temu dokonano ataku na jego złączę, z którego korzystało wiele DAppsów. Ukoronowaniem serii problemów Ledgera jednak może okazać się odkrycie, że firma śledzi swoich użytkowników. 
Pewien programista przeprowadził dochodzenie dotyczące tego, czy oprogramowanie od francuskiego producenta portfeli sprzętowych - Ledger Live - zbiera wrażliwe dane swoich użytkowników. Okazało się, że po części tak jest. Osoba podpisująca się na X jako Rekt Builder twierdzi, że znalazła dowód na to, że system Ledgera tak naprawdę śledzi każdy ruch użytkowników. Jakie informacje przetwarza dalej?

Co Ledger chce wiedzieć o swoich klientach?

W dniu 27 grudnia wspomniany badacz, który specjalizuje się w kwestiach ochrony naszej prywatności w sieci, opublikował na X długi wpis zawierający informacje dotyczące jego ostatniego odkrycia. Jak ustalił po dogłębnej analizie kodu oprogramowania Phytona, gdy podłączamy nasze zewnętrzne portfele do komputerów lub innych urządzeń, Ledger Live rejestruje informacje odnośnie aplikacji, jakie na nich posiadamy. Jak twierdzi Rekt Builder, dotyczy to także portfeli kryptowalut, bowiem system zyskuje także dostęp do tego, jakie cyfrowe aktywa się w nich znajdują. Jakie jeszcze dane zbiera Ledger Live? Przede wszystkim to, czy nasze urządzenie jest oryginalne, po czym wysyła tę informację do serwerów Ledgera. Przekazywane dane obejmują m.in. numer seryjny urządzenia i wersję jego oprogramowania sprzętowego.
W tej sytuacji jesteśmy już nieco zagrożeni, bowiem nie mamy wpływu na bezpieczeństwo serwerów tej firmy, tak więc w przypadku ich zhackowania, ktoś może dobrać się do informacji odnośnie tego, jak wygląda saldo HODLowanych przez nas kryptowalut. Programista napisał również, że nie jest możliwe wyłączenie funkcji zdalnego śledzenia w Ledger Live. Przekazał, że podjął oczywiście taką próbę, ale zatrzymał się w momencie, gdy zorientował się, że doprowadzi to do uszkodzenia oprogramowania. To ma sugerować, że producent portfeli sprzętowych celowo wykonał taki zabieg. //twitter.com/rektbuildr/status/1739984215070888316

Festiwal kontrowersji dot. Ledgera

W powyższej sprawie francuska firma nie wydała jak na razie żadnego oświadczenia, w którym odnosiłaby się do tych zarzutów. Ostatnio natomiast deklarowała większe skupienie się na kwestiach bezpieczeństwa po tym, jak dokonano kradzieży 600 tys. dolarów w następstwie zhackowania biblioteki Ledgera. //twitter.com/Ledger/status/1737457365526470665 W maju tego roku natomiast było głośno w branży kryptowalut odnośnie kontrowersyjnej usługi - Ledger Recover - która oferowała podział kluczy prywatnych na 3 części, z czego jednej z nich strzegłaby właśnie ta firma. Następstwie pojawiły się podejrzenia, że system tych portfeli sprzętowych ma backdoora po tym, jak taką sugestię rzucił jeden z pracowników działu supportu klienta. Wróćmy jeszcze do 2022 roku, gdy Ledger został oskarżony o zbieranie danych o aktywności użytkowników. Dotyczyło to odwiedzanych przez nich witryn internetowych oraz kryptowalut, którymi obracali. Producent wtedy oficjalnie przeprosił za tego typu praktyki i obiecał, że dołoży wszelkich starań, by to się nie powtórzyło. Jak widać, tej obietnicy nie dotrzymał jak należy.

Komentarze

Ranking giełd