.png){kind=avatar}
Dit is de ontknoping van een onderzoek dat iets meer dan twee jaar heeft geduurd. Volgens onze informatie zijn de verantwoordelijken voor de diefstal in april en juni 2020 van de klantbestanden van Ledger gearresteerd.
De eerste is een zekere Tassilo H., een 22-jarige Oostenrijker woonachtig in Californië. Hij zit momenteel in hechtenis in de Verenigde Staten.
De tweede, Davide M., een 28-jarige Portugese staatsburger, werd gearresteerd in Portugal en in november 2022 overgedragen aan de Franse autoriteiten. Hij is in staat van beschuldiging gesteld en in voorlopige hechtenis genomen.
Gedurende meerdere maanden verkochten de twee hackers onderhands de gegevens van 290.000 Ledger-klanten die zij via het Shopify e-commerceplatform hadden verkregen.
Dit massale datalek leidde tot een golf van "phishing" - een techniek bedoeld om zich voor te doen als het bedrijf - onder eigenaren van digitale wallets beheerd door de wereldleider in digitale vermogensbewaring. Ledger ontkent elk verband tussen het datalek en de phishinggolf.
Het lek betrof de namen, telefoonnummers, e-mailadressen en ook fysieke adressen van klanten. Deze database werd gebruikt om Ledger-producten thuis te bezorgen.
Ledger werd in juni 2020 getroffen door een tweede hack. Deze hack, die ditmaal één miljoen mensen trof, zou te wijten zijn aan een fout in een API-sleutel. De hacker is niet gearresteerd.
De Franse unicorn is voor beide hacks aangeklaagd. Gevraagd om commentaar weigerde Ledger, dat eind 2022 de grens van de 6 miljoen verkochte Nano (S en X) had overschreden, te reageren.
Hoe werden de twee verantwoordelijken voor de eerste hack, Tassilo H. en Davide M., opgespoord?
Alles begon in januari 2021. Destijds hadden Ledger en de Franse autoriteiten weinig informatie over de verantwoordelijken voor de hack, die plaatsvond in april 2020, totdat een internetgebruiker contact opnam met het Franse bedrijf via Twitter.
De internetgebruiker, die zich voorstelde als beheerder van een investeringssite voor cryptocurrency, beweerde de identiteit te kennen van de verantwoordelijke voor de hack. Om zijn goede trouw te bewijzen, levert hij verschillende screenshots van Telegram-groepsgesprekken waarin de doorverkoop van bedrijfsdatabases wordt genoemd. Ledger is een van de genoemde bedrijven.
Op deze kanalen schept Tassilo H. (onder de pseudoniemen "TASS" of "BigBoy") op over het hacken van de klantendatabase van Ledger en toont hij afgekorte foto's met uittreksels uit het klantenbestand.
De FBI identificeerde de Oostenrijker snel en arresteerde hem vervolgens. Het is nog steeds januari 2021. Tijdens het verhoor bekende hij de feiten, maar verklaarde dat hij "niet alleen had gehandeld". Destijds noemde hij een zekere Davide M. als hoofdschuldige.
Volgens gevonden communicatie kenden de twee mannen elkaar al sinds minstens 2019.
Hier krijgt het onderzoek een internationale dimensie. Davide M. werd in 2022 geïdentificeerd en in de zomer opgeroepen door de Portugese autoriteiten. Toen hij niet verscheen, werd er een Europees arrestatiebevel tegen hem uitgevaardigd. Vervolgens werd hij gearresteerd.
Analyse van zijn apparaten toonde aan dat ook hij op Telegram opschepte dat hij verantwoordelijk was voor het extraheren van gegevens van verschillende bedrijven, waaronder Ledger. En het lijkt erop dat dit niet zijn eerste daad was...
Analyse van gegevens van zijn smartphone en harde schijven bewees ook dat hij in het voorjaar van 2022 een site had gecreëerd die het cryptocurrency-handelsplatform Gate imiteerde. Het doel? Klant-ID's verkrijgen en de inhoud van hun wallets stelen.
Een lek bij Shopify
Om het klantbestand van Ledger in handen te krijgen, gebruikten Tassilo H. en Davide M. geen malware. Zij namen contact op met drie Filipijnse onderaannemers van de Canadese gigant Shopify, die e-commerceoplossingen aanbiedt. Via Shopify verkocht Ledger zijn producten online.
Het contact vond plaats via de supportchat van Shopify met een zekere Carlo P.
Deze laatste zou vervolgens een deel van de database van Shopify hebben geëxtraheerd, waaronder het klantbestand van Ledger. "Het is onbegrijpelijk dat onderaannemers van Shopify ongecontroleerde toegang hadden tot zo'n gevoelige database," benadrukt een bron dicht bij het dossier.
Als gevolg van de hack en de verkoop van het bestand zijn veel Ledger-klanten het slachtoffer geworden van phishingaanvallen door personen die zich voordeden als Ledger.
Het proces is vaak hetzelfde: de dieven nodigen klanten uit om een valse site te bezoeken onder het voorwendsel dat zij hun software moeten updaten. Eenmaal ingelogd, wordt hen gevraagd de herstelcode van hun crypto-account bestaande uit 24 woorden te verstrekken, waarmee de dief de wallet aan zijn kant kan reconstrueren en de fondsen kan terughalen.
Volgens de rechtbanken zijn minstens 150 mensen het slachtoffer geworden van deze praktijken. Volgens onze informatie hebben sommige slachtoffers meer dan een miljoen euro verloren.
In twee jaar tijd zouden Tassilo H. en David M. respectievelijk 80.000 en 70.000 euro hebben verdiend met de verkoop van klantbestanden. Volgens een expert is dit bedrag waarschijnlijk te laag ingeschat.
Het proces tegen Davide M. zal naar verwachting binnen afzienbare tijd in Frankrijk plaatsvinden, waarschijnlijk in de komende maanden. Het verzamelde bewijs lijkt voldoende voor de rechtbanken, die waarschijnlijk niet veel verder onderzoek hoeven te doen.
Davide M. is aangeklaagd voor zes misdrijven: oplichting in georganiseerd verband, diefstal in georganiseerd verband, criminele samenspanning met het oog op het plegen van een misdrijf, frauduleuze toegang tot een geautomatiseerd gegevensverwerkingssysteem, frauduleuze aanwezigheid in een geautomatiseerd gegevensverwerkingssysteem, frauduleuze extractie van gegevens uit een geautomatiseerd gegevensverwerkingssysteem.
Hij riskeert tot tien jaar gevangenisstraf en een boete van €1 miljoen.
Tassilo H. kan ondertussen in de Verenigde Staten worden berecht.
Na meer dan twee jaar onderzoek zijn de verantwoordelijken voor de diefstal van de klantendatabase van Ledger in april en juni 2020 gearresteerd. Een van hen zal in Frankrijk terechtstaan. The Big Whale onthult hoe de twee mannen via Shopify toegang kregen tot de gegevens en hoe het spoor naar hen leidde....
%201.png)
%201.png)
%201.png)
%201.png)
%201.png)
