Po trwającej od wczoraj burzy w internecie spowodowanej doniesieniami o nowej funkcji Ledger Recover firma postanowiła ustosunkować się do kontrowersji jakie narosły wokół marki. Producent portfeli sprzętowych przyznał się, iż każde urządzenie posiadają tzw. backdoora który przy instalacji odpowiedniego systemu jest w stanie uzyskać dostęp do informacji wrażliwych. Wielu komentujących czuje się oszukanych, przy czym niektórzy eksperci od cyberbezpieczeństwa uspokajają nastroje. Jak blamaż PR-owy Ledgera wpłynie na przyszłość „zimnych portfeli”?
Ledger przyznaje: urządzenie od początku posiadało tylne drzwi
Przypomnijmy: nowa funkcja portfeli sprzętowych o nazwie Ledger Recover umożliwia użytkownikom urządzeń tego producenta dodatkowe zabezpieczenie swoich aktywów cyfrowych poprzez przesłanie fragmentów hasła złożonego z fraz seed osobom trzecim. Wywołało to burzę w społeczności krypto, jako iż bardzo wielu ludzi uważało dotychczas (na podstawie informacji firmowych), iż spółka poza wysyłaniem sprzętu nie ma jakiegokolwiek dostępu do danych zawartych na urządzeniu.
Nagle okazuje się jednak, iż ma, a przynajmniej może mieć. Sprzęt umożliwia bowiem aktualizację systemu która jest w stanie wykraść nasze informacje poufne. Ostatecznie zostajemy więc z absolutnym zaufaniem dla producenta urządzenia.
Jeszcze wczoraj tzw. „backdoor” był elementem spekulacji na Reddicie (poruszaliśmy to w ostatnim wpisie), jednak kilkanaście godzin temu Ledger oficjalnie potwierdził: tak, urządzenia posiadają taką funkcjonalność.
„Technicznie rzecz biorąc, zawsze było możliwe napisanie systemu układowego ułatwiającego wydobywanie kluczy. Zawsze ufałeś Ledgerowi, iż nie wdroży takiego systemu układowego, niezależnie od tego, czy o tym wiedziałeś, czy nie.” – odpowiedział pion pomocy technicznej marki.
(AKTUALIZACJA): Firma usunęła kontrowersyjny tweet określając go „błędnym sformułowaniem pracownika supportu”. Komentujący nie dają jednak za wygraną i uważają, iż wypowiedź dobrze zakreśliła na czym polega problem i iż czynnika ludzkiego należy się obawiać.
Oświadczenie tylko pogorszyło krytykę padającą pod adresem producenta. Niektórzy żartownisie spekulują wręcz, iż firma teraz mogłaby i tak zgasić za sobą światło kosztem posiadaczy kryptowalut jako iż ich renoma z dnia na dzień upadła.
Krytyka nie jest jednomyślna
Nie wszyscy jednak podzielają entuzjazm jaki towarzyszy gradowi krytyki jednego z wiodących producentów portfeli sprzętowych. MintDefense, firma zajmująca się ochroną inwestorów kryptowalutowych przed potencjalnymi stronami i kontraktami phishingowymi opublikowała wątek, w którym informuje, iż każde rozwiązanie w sferze bezpieczeństwa opiera się de facto na balansowaniu ryzyka i miary potencjalnych szkód.
Zarówno korzystanie z portfeli sprzętowych markowych producentów jak i trzymanie aktywów na „hot walletach” jak MetaMask czy na giełdach kryptowalut wiąże się z ryzykiem. Pytanie tylko jak duże jest to ryzyko oraz jaki wpływ będzie miało na nas złamanie ewentualnych zabezpieczeń / materializacja się danego ryzyka.
Pełen wątek możecie przeczytać poniżej: