Ledger Inbreuk: Je Crypto Is Veilig, Maar Persoonlijke Gegevens In Gevaar!

Ledger-klanten werden op 5 januari verrast door een email die niemand ooit wil ontvangen: hun namen en contactgegevens waren blootgelegd door een inbreuk bij Global-e, een derde partij die betalingsverwerking aanbiedt. Het bedrijf verduidelijkte wat niet was gecompromitteerd: geen betaalkaarten, geen wachtwoorden en cruciaal, geen 24-woord herstelzinnen. De hardware was onaangetast, de firmware veilig, en de seed opslag intact.

BleepingComputer meldde dat aanvallers toegang hadden gekregen tot bestelgegevens van klanten via het cloudsystem van Global-e, waarbij ze namen, postadressen, e-mailadressen, telefoonnummers en details van bestellingen kopieerden. Dit is een zogenoemde “commerce-stack breach”, wat betekent dat er geen cryptografische sleutels zijn aangeraakt, geen apparaten zijn gehackt, en geen exploits Ledger’s veilige hardware wisten te omzeilen.

Wat de aanvallers verworven zijn, is veel praktischer: een actuele en hoogwaardige contactlijst van bevestigde eigenaren van hardware wallets met hun adresgegevens. Voor phishingoperaties is dit een goudmijn aan gerichte gegevens. De hardware wallet heeft zijn functie vervuld, maar het commerciële apparaat dat eromheen is gebouwd, heeft aanvallers alles gegeven wat ze nodig hadden.

Ledger heeft deze situatie eerder meegemaakt. In juni 2020 kon een aanvaller toegang krijgen tot de e-commerce database van het bedrijf door een verkeerd geconfigureerde API-sleutel te exploiteren. Hierdoor kwamen een miljoen e-mailadressen in de openbaarheid, en 272.000 records bevatten volledige namen, postadressen en telefoonnummers. Bitdefender karakteriseerde dit als een “gouden kans voor oplichters.” De aanvallen waren allesbehalve subtiel.

Valse inbreukmeldingen spoorden gebruikers aan om hun herstelzinnen te “verifiëren” op gekopieerde websites, en frauduleuze updates van Ledger Live leverden gegevensverzamelaars op. Sommige extortie-e-mails dreigden met inbraak, geloofwaardig gemaakt doordat aanvallers over adressen en bevestigde aankopen beschikten.

Gegevenslekken van persoonlijke identificatie-informatie (PII) in de crypto-sector hebben een ongebruikelijke duurzaamheid. De lijst van Ledger uit 2020 verouderde niet. In 2021 verstuurden criminelen fysiek aangepaste “vervangende” apparaten naar adressen uit het lek. De ingepakte pakketten met valse briefhoofden instrueerden slachtoffers om hun herstelzinnen in te voeren op gemodificeerde hardware die ontworpen was om seeds te exfiltreren.

In december 2024 documenteerde BleepingComputer een nieuwe phishingcampagne met onderwerpregels als “Security Alert: Data Breach May Expose Your Recovery Phrase.” Daarnaast merkte het 2025-rapport van MetaMask op dat fysieke brieven via de post naar slachtoffers van 2020 waren gestuurd, op vervalst Ledger-stationary, waarin hen werd verwezen naar frauduleuze ondersteuningslijnen.

De inbraak van 2020 heeft nooit een Ledger-apparaat gecompromitteerd, maar het heeft wel genormaliseerd dat klantlijsten worden gezien als input voor ernstige misdaad. Bitdefender merkte op dat losgeld-e-mails gebruik maakten van gelekte adressen om te dreigen met inbraken. Ledger nam in de eerste twee maanden 171 phishing-sites offline. Rapporten documenteren een toenemend aantal fysieke overvallen en kidnappings gericht op het verkrijgen van privésleutels, niet alleen in Frankrijk, maar ook in de Verenigde Staten, het Verenigd Koninkrijk en Canada.

Eén incident in Frankrijk betrof de kidnapping van Ledger-oprichter David Balland en zijn partner in januari 2025, waarbij aanvallers een vinger afsneden en losgeld eisten. Eerdere lekken bij Ledger hebben geleid tot wrenchanvallen, waarbij gerapporteerd wordt dat de stijging van gewelddadige aanvallen op crypto-executives samenhangt met datalekken bij Ledger, Kroll en Coinbase, die details van vermogende gebruikers blootstelden. Criminelen combineren gelekte databases met openbare gegevens om doelwitten te profileren en te vinden.

Ledger staat hierin niet alleen. Toen Kroll in augustus 2023 werd gehackt, werd de data van FTX-, BlockFi- en Genesis-crediteuren aangetast. Rechtszaken beweren dat dit leidde tot dagelijkse phishing-e-mails die de claimsportals nabootsten. Het patroon is consistent: derde partijen houden “niet-gevoelige” gegevens die gevoelig worden wanneer ze gekoppeld zijn aan crypto-actief eigendom. Een verzendadres is metadata totdat het aan een bestelling van een hardware wallet is gekoppeld.

Ledger’s advies is solide: verifieer domeinen, negeer urgentie, deel nooit je seed. Maar beveiligingsonderzoekers suggereren dat deze aanpak verder moet worden uitgebreid. Gebruikers met waardevolle bezittingen zouden kunnen overwegen het optionele wachtwoordfunctie in te schakelen, een 25e woord dat alleen in het geheugen bestaat. Daarnaast moeten gebruikers hun contactgegevens regelmatig wijzigen, unieke e-mailadressen gebruiken voor aankopen van wallets en letten op pogingen tot SIM-swapping.

Het blootstellen van adressen brengt offline risico’s met zich mee. Het minimaliseren van leveringen, zoals doorsturen van post, zakelijk gebruik van adressen en afhaalpunten, vermindert de kans op fysieke dwang. Wrenchanvallen blijven statistisch gezien zeldzaam, maar vormen een reëel en groeiend gevaar.

De inbraak bij Global-e roept onbeantwoorde vragen op: Hoeveel klanten zijn getroffen? Welke specifieke velden zijn geraadpleegd? Zijn andere klanten van Global-e ook gecompromitteerd? Welke logs volgen de beweging van de indringer? De cryptosector moet de risico’s van haar commerciële infrastructuur heroverwegen. Wanneer zelfbewaring betrouwbare derde partijen uit de controle over activa verwijdert, creëert het doorgeven van klantgegevens aan e-commerceplatforms en betalingsverwerkers exploiteerbare kaarten van doelwitten.

De hardware wallet kan een fort zijn, maar bedrijfsoperaties scheppen blijvende kwetsbaarheden. De inbraak bij Global-e zal geen enkel Ledger-apparaat hacken, dat is niet eens nodig. Het gaf aanvallers een nieuwe lijst van namen, adressen en aankoopbewijzen, wat alles is wat nodig is om phishingcampagnes te lanceren die jarenlang zullen voortduren en in zeldzame gevallen zelfs criminele activiteiten mogelijk maken die geen bypass van encryptie vereisen. De werkelijke kwetsbaarheid ligt niet bij het veilige element. Het is de papieren spoor die naar de deuren van de gebruikers leidt.

Vraag & Antwoord

Wat zijn de gevolgen van de inbraak bij Global-e voor Ledger-gebruikers?
De inbraak heeft geleid tot blootstelling van persoonlijke gegevens, wat een verhoogd risico op phishingaanvallen en andere cybercriminaliteit met zich meebrengt. Gebruikers moeten bijzonder waakzaam zijn ten aanzien van verdachte communicatie.

Welke beveiligingsmaatregelen kunnen gebruikers nemen om zichzelf te beschermen?
Gebruikers moeten domeinen verifiëren, nooit hun seed of herstelwoorden delen, en overwegen een optioneel wachtwoord in te schakelen voor extra beveiliging. Regelmatige wijziging van contactgegevens kan ook helpen.

Hoe beïnvloedt dit de bredere cryptomarkt?
Dit soort datalekken onderstreept de noodzaak voor betere beveiliging en infrastructuur binnen de crypto-industrie, en kan leiden tot een heroverweging van hoe klantgegevens worden beheerd en beschermd.