Nieuwe Ledger-datalek heeft je crypto niet gestolen, maar lekte wel informatie die gewelddadige criminelen naar je deur leidt

Ledger-klanten werden op 5 januari wakker met een e-mail die niemand wil zien: hun namen en contactgegevens waren blootgesteld door een inbreuk bij Global-e, een externe betalingsverwerker.

Het bedrijf verduidelijkte wat niet was gecompromitteerd: geen betaalkaarten, geen wachtwoorden en, cruciaal, geen 24-woorden herstelzinnen. De hardware bleef onaangetast, de firmware veilig, de seed-opslag intact.

Voor een datalek is dit het best mogelijke scenario. Behalve dat in crypto een gelekt verzendlabel de eerste stap kan zijn in een phishing-trechter of, in zeldzame slechtste scenario's, een klop op de deur.

De echte kwetsbaarheid is niet de wallet

BleepingComputer meldde dat aanvallers toegang kregen tot bestelgegevens van klanten via het cloudsysteem van Global-e, waarbij namen, postadressen, e-mails, telefoonnummers en bestelgegevens werden gekopieerd.

Dit is een "commerce-stack inbreuk," waarbij geen cryptografische sleutels werden aangeraakt, geen apparaten werden gebackdoord en geen exploit het beveiligde element van Ledger versloeg.

Wat aanvallers verkregen is praktischer: een verse, hoogwaardige contactlijst van bevestigde hardware wallet-eigenaren met thuisbezorgadressen.

Voor phishing-operators zijn dit targeting-gegevens van infrastructuurkwaliteit. De hardware wallet deed zijn werk, maar het omringende commerciële apparaat gaf aanvallers alles wat ze nodig hadden.

Ledger heeft dit eerder meegemaakt. In juni 2020 misbruikte een aanvaller een verkeerd geconfigureerde API-sleutel om toegang te krijgen tot de e-commercedatabase van het bedrijf. Een miljoen e-mailadressen werden blootgesteld en 272.000 records bevatten volledige namen, postadressen en telefoonnummers.

Bitdefense karakteriseerde het als een "gouden kans voor oplichters."

De aanvallen waren niet subtiel. Valse inbreukmeldingen drongen gebruikers aan om herstelzinnen te "verifiëren" op gekloonde websites, en frauduleuze Ledger Live-updates leverden credential harvesters af.

Sommige afpersings-e-mails dreigden met huisinvasies, geloofwaardig gemaakt door het bezit van de aanvallers van de adressen van slachtoffers en bevestigde wallet-aankopen.

Een dataset die nooit ophoudt met geven

Persoonlijk identificeerbare informatie (PII)-lekken in crypto hebben ongebruikelijke duurzaamheid.

De Ledger-lijst van 2020 verouderde niet. In 2021 verstuurden criminelen fysiek gemanipuleerde "vervangende" apparaten naar adressen uit de dump. De in plastic verpakte pakketten met valse briefhoofden instrueerden slachtoffers om herstelzinnen in te voeren op aangepaste hardware die was ontworpen om seeds te exfiltreren.

In december 2024 documenteerde BleepingComputer een nieuwe phishing-campagne met "Beveiligingswaarschuwing: Datalek kan uw herstelzin blootleggen" als onderwerpregel.

Bovendien merkte het dreigingsrapport 2025 van MetaMask op dat fysieke brieven per post werden verzonden naar slachtoffers van 2020, op vals Ledger-briefpapier, die hen naar frauduleuze supportlijnen verwezen.

De dataset werd een permanent onderdeel, gerecycled via e-mail, sms en traditionele post.

De Global-e inbreuk geeft aanvallers een nieuwe versie van hetzelfde wapen. Ledger's waarschuwing anticipeert hier expliciet op: verwacht phishing die misbruik maakt van het lek, verifieer alle domeinen, negeer urgentie-signalen, deel nooit uw 24-woorden zin.

Wanneer phishing overgaat tot fysieke dreigingen

Het lek van 2020 heeft nooit een Ledger-apparaat gecompromitteerd, maar het normaliseerde het behandelen van klantenlijsten als input voor ernstige misdaad. Bitdefender merkte losgeld-e-mails op die gelekte adressen gebruikten om met huisinvasies te dreigen. Ledger haalde in de eerste twee maanden 171 phishing-sites offline.

Rapporten documenteren escalerende fysieke overvallen, huisinvasies en ontvoeringen gericht op het extraheren van privésleutels in Frankrijk, de Verenigde Staten, het Verenigd Koninkrijk en Canada.

Eén Frans incident betrof de ontvoering in januari 2025 van Ledger-medeoprichter David Balland en zijn partner, waarbij aanvallers een vinger afhakten terwijl ze losgeld eisten.

Eerdere Ledger-lekken hebben wrench-aanvallen uitgelokt, waarbij rapporten betogen dat de toename van gewelddadige aanvallen op crypto-executives correleert met inbreuken bij Ledger, Kroll en Coinbase die de gegevens van vermogende gebruikers blootlegden.

Criminelen voegen gelekte databases samen met openbare gegevens om doelwitten te profileren en te lokaliseren.

TRM Labs bevestigt het mechanisme: persoonlijke informatie verzameld online, zoals adressen en familiegegevens, heeft het profileren van slachtoffers voor huisinvasies vereenvoudigd, zelfs wanneer wallet-technologie niet gecompromitteerd blijft.

Wetshandhaving behandelt crypto-specifieke PII-lekken nu als ingrediënten voor gewelddadige afpersing.

Hoe om te gaan met een ecosysteemprobleem

Ledger staat niet alleen. Toen Kroll in augustus 2023 werd geschonden, werden de gegevens van FTX-, BlockFi- en Genesis-crediteuren benaderd.

Rechtszaken beweren dat de verkeerde afhandeling leidde tot dagelijkse phishing-e-mails die claimportalen spoofden.

Het patroon is consistent: externe leveranciers bewaren "niet-gevoelige" gegevens die gevoelig worden wanneer ze gekoppeld zijn aan crypto-activabezit. Een verzendadres is metadata totdat het gekoppeld wordt aan een hardware wallet-bestelling.

De commerciële laag, bestaande uit handelsplatforms, CRM's en verzendintegraties, creëert kaarten van wie wat bezit en waar ze te vinden zijn.

Ledger's advies is deugdelijk: verifieer domeinen, negeer urgentie, deel nooit uw seed. Toch suggereren beveiligingsonderzoekers dit uit te breiden.

Gebruikers met waardevolle bezittingen zouden het inschakelen van de optionele wachtwoordzin-functie moeten overwegen, een 25e woord dat alleen in het geheugen bestaat. Daarnaast moeten gebruikers periodiek hun contactgegevens roteren, unieke e-mailadressen gebruiken voor wallet-aankopen en controleren op SIM-swap-pogingen.

Blootstelling van adressen brengt offline risico met zich mee. Bezorgminimalisatie, zoals doorsturen van post, zakelijke adressen en ophaallocaties, vermindert het oppervlak voor fysieke dwang. Wrench-aanvallen blijven statistisch zeldzaam maar vormen een reële en groeiende dreiging.

Het Global-e incident roept onbeantwoorde vragen op: Hoeveel klanten werden getroffen? Welke specifieke velden werden benaderd? Werden andere Global-e klanten gecompromitteerd? Welke logs volgen de beweging van de indringer?

De crypto-industrie moet de risico's van haar commerciële infrastructuur heroverwegen. Als zelfbewaring vertrouwde derden verwijdert uit activacontrole, creëert het overdragen van klantgegevens aan e-commerceplatforms en betalingsverwerkers exploiteerbare kaarten van doelwitten.

De hardware wallet kan een fort zijn, maar bedrijfsoperaties creëren aanhoudende kwetsbaarheden.

De Global-e inbreuk zal geen enkel Ledger-apparaat hacken. Dat hoeft ook niet. Het gaf aanvallers een verse lijst van namen, adressen en aankoopbewijzen, wat alles is wat nodig is om phishing-campagnes te lanceren die jarenlang zullen duren en, in zeldzame gevallen, misdaden mogelijk maken die geen omzeiling van encryptie vereisen.

De echte kwetsbaarheid is niet het beveiligde element. Het is het papieren spoor dat naar de deuren van gebruikers leidt.

Het bericht Nieuwe Ledger-inbreuk stal uw crypto niet, maar legde informatie bloot die gewelddadige criminelen naar uw deur leidt verscheen eerst op CryptoSlate.