Der Hardware-Wallet-Anbieter Trezor hat vor wenigen Stunden bekanntgegeben, dass die Support-E-Mails des Unternehmens kompromittiert wurden. Demnach soll ein Angreifer das Kontaktformular des Unternehmens missbraucht haben, um scheinbar legitime Nachrichten an Kunden zu verschicken. Kunden und Nutzer sollten daher äußerste Vorsicht bei der Kommunikation mit Trezor walten lassen. Die Hardware-Wallets des Anbieters sind nach aktuellem Stand nicht direkt betroffen.
Stattdessen nutzen Kriminelle die Schwachstelle scheinbar aus, um Phishing-E-Mails im Namen von Trezor zu verschicken oder diese zu ergänzen. Laut Angaben von Trezor wurden keine Kundendatenbanken oder E-Mail-Verteiler kompromittiert. Vielmehr konnten Angreifer durch das Kontaktformular gezielt E-Mail-Adressen eintragen und so eine automatisierte Support-Antwort von Trezor an das potenzielle Opfer auslösen. In diesen E-Mails wurde teilweise versucht, Nutzer dazu zu bringen, sensible Informationen wie den Wallet-Seed oder Backup-Codes preiszugeben.
Trezor betont, dass es zu keinem Zeitpunkt zu einem eigentlichen Datenleck kam und keine Systeme von Dritten kompromittiert wurden. Vielmehr handelte es sich um eine Schwachstelle im Auto-Reply-System des Kontaktformulars, die es ermöglichte, beliebige E-Mail-Adressen als Empfänger einzutragen und den Nachrichteninhalt zu manipulieren. Die Funktion wurde inzwischen abgesichert und der Angriff gestoppt.
Aktuell ist noch unklar, ob die Angreifer die Support-E-Mails ausschließlich für Phishing-Attacken nutzen konnten oder ob vereinzelt weiterführende Social-Engineering-Versuche stattfinden. Die Anzahl der betroffenen Kunden ist ebenfalls nicht bekannt. Trezor empfiehlt allen Nutzern, besonders wachsam zu sein und keine sensiblen Informationen wie Wallet-Seeds, Passwörter oder Backup-Codes preiszugeben – weder per E-Mail noch über andere Kanäle.
Die Hardware-Wallets selbst gelten nach wie vor als sicher. Auch Trezor betont, niemals nach dem Seed oder Backup zu fragen. Der Vorfall weckt jedoch unschöne Erinnerungen an das Datenleck bei Ledger, bei dem gezielt Kundendaten für Social-Engineering-Angriffe missbraucht wurden.
Der Ledger-Hack sorgte bereits für einen GAU
Damals gelang es Angreifern, über eine Schwachstelle im E-Commerce-System des französischen Hardware-Wallet-Herstellers Zugriff auf eine interne Kundendatenbank zu erlangen. In der Folge wurden E-Mail-Adressen, Namen, Telefonnummern und zum Teil sogar Adressdaten von rund 270.000 Ledger-Kunden entwendet und später im Internet veröffentlicht. Besonders brisant: Diese Informationen ermöglichten gezielte Phishing- und Erpressungsversuche bis hin zu direkten Drohungen gegen betroffene Nutzer.
Noch schwerer wog jedoch die Kritik an der Kommunikation durch Ledger selbst. Das Unternehmen informierte die Öffentlichkeit erst spät und zunächst nur sehr vage über das Ausmaß des Leaks. Viele Kunden erfuhren viel zu spät von dem Vorfall und mussten zusehen, wie persönliche Daten im Darknet kursierten oder sie von Betrügern kontaktiert wurden. Ledger bemühte sich nachträglich um Schadensbegrenzung, doch der Vertrauensverlust war enorm. Für viele Beobachter galt der Fall als Weckruf für die gesamte Branche.
Ein weiterer Vorfall von ähnlichem Ausmaß wie bei Ledger würde nicht nur Trezor, sondern die gesamte Branche der Wallet-Hersteller in ein schlechtes Licht rücken. Die Sicherheit der Nutzer hängt nicht nur von der Technologie ab, sondern ganz wesentlich auch vom verantwortungsvollen Umgang mit Daten und der transparenten Kommunikation im Krisenfall.
Der Tenor auf Social-Media ist bislang nicht positiv und viele Nutzer bemängeln, dass ein Unternehmen, welches in einem sensiblen Bereich arbeitet, überhaupt so anfällig ist. Ob sich der Vorfall ausdehnt oder sich die Angelegenheit erledigt hat, wird sich in den kommenden Tagen zeigen müssen.
