Ledger próbuje usprawiedliwić się po skandalu wśród plotek o ryzyku wycieku danych użytkowników

• Producent odniósł się do niejasnych sformułowań dotyczących zmienności kryptografii
• Wcześniej użytkownicy byli oburzeni faktem, że firma miała «lukę» umożliwiającą dostęp do fraz seed klientów

Na początku tego tygodnia producent portfeli sprzętowych Ledger wprowadził nową funkcję o nazwie Recovery. Według firmy pozwala ona na utworzenie «kopii zapasowej» frazy seed, co może prowadzić do dodatkowego ryzyka włamania na konto.

Sytuacja eskalowała jeszcze bardziej, gdy Ledger «potarł» problematycznego «tweeta»:

Wiadomość głosiła, że Ledger może napisać oprogramowanie układowe, które ułatwi dostęp do kluczy prywatnych klientów. Ponadto funkcja odzyskiwania skutecznie zamienia zimne konta w gorące, ponieważ wymaga KYC i przechowuje fragmenty kopii zapasowej frazy początkowej na serwerze innej firmy.

Wczoraj, 18 maja, producent poinformował, że usunął tweeta z powodu «nieprawidłowego sformułowania». CTO Ledgera, Charles Guillemette, również wziął udział w dyskusji i opublikował cały wątek ze szczegółowym wyjaśnieniem, jak działa system operacyjny firmy.

Według niego istnieje wiele sposobów na wdrożenie backdoora, a zakup portfela sprzętowego zawsze wymagał «pewnego stopnia zaufania». Nawet wykorzystanie zasady open source nie rozwiązuje problemu, ponieważ użytkownik nie może wiedzieć, jaki rodzaj oprogramowania układowego jest zainstalowany na jego gadżecie.

Stwierdził również, że Ledger nie ma i nigdy nie miał dostępu do 24-wyrazowego hasła, które otrzymuje każdy użytkownik. Nie gwarantuje to jednak bezpieczeństwa.

Ale wcześniej, w listopadzie ubiegłego roku, Ledger twierdził, że nie ma technicznych możliwości odzyskania frazy seed w przypadku jej utraty. Teraz sytuacja wygląda nieco inaczej, a niektórzy eksperci zalecają użytkownikom zmianę portfela.