Voltar ao Blog
segurancaledgervazamento-dadosprivacidadecarteira-hardware
Vazamento de Terceiros da Ledger: Por Que Seu Provedor de Carteira Hardware Sabe Demais
Clientes Ledger foram expostos em um vazamento de dados da Global-e. Este é o terceiro grande incidente de dados da Ledger — e revela um problema fundamental com modelos de negócio de carteiras hardware.
Miguel Treviño•
A Ledger acabou de sofrer mais um vazamento de dados.
No início de janeiro de 2026, hackers comprometeram a Global-e, uma processadora de pagamentos terceirizada que opera as operações de e-commerce da Ledger. Nomes de clientes, informações de contato e detalhes de pedidos foram expostos.
Resumo:
- O Evento: A Ledger sofreu um terceiro grande vazamento de dados (via Global-e em jan 2026), expondo nomes de clientes e endereços de entrega.
- A Causa Raiz: Carteiras hardware exigem o envio de bens físicos, forçando empresas a armazenar dados sensíveis de clientes que os expõem a riscos.
- O Risco: Embora os fundos permaneçam seguros, os dados expostos alimentam ataques de phishing sofisticados e direcionados e golpes por correspondência física.
- A Alternativa: A Zelf oferece uma solução de software com privacidade em primeiro lugar usando Provas ZK, eliminando a necessidade de envio e minimizando a coleta de dados.
O Que Foi Exposto
De acordo com a divulgação da Ledger, o vazamento incluiu:
- Nomes de clientes e informações de contato
- Detalhes de pedidos incluindo produtos comprados e preços
- Endereços de entrega para entregas físicas
O que NÃO foi exposto (segundo eles):
- Informações de pagamento/financeiras
- Holdings de criptomoedas
- Frases de recuperação de 24 palavras
- Senhas ou credenciais de conta
O Problema do Padrão
Este não é o primeiro incidente de dados da Ledger. Vamos recapitular:
2020: O Vazamento Original
- 1 milhão+ de e-mails de clientes expostos
- 272.000 registros completos (nome, endereço, telefone)
- Levou a anos de campanhas de phishing direcionadas
2023: Comprometimento da Cadeia de Suprimentos
- A biblioteca Ledger Connect Kit foi comprometida por mais de 5 horas
- Qualquer dApp usando a biblioteca poderia ter drenado carteiras
- Aproximadamente $600.000 roubados
2026: Vazamento Global-e
- Processador de pagamentos terceirizado hackeado
- Dados de compra de clientes expostos
- Potencial para campanhas renovadas de phishing
Três grandes incidentes em seis anos. Cada um independente. Cada um expondo dados de clientes.
Por Que Isso Continua Acontecendo
A questão fundamental não é a segurança da Ledger (embora não tenha sido estelar). É o modelo de negócios.
Para vender uma carteira hardware, a Ledger precisa:
- Seu nome (para o pedido)
- Seu endereço (para enviar)
- Seu e-mail (para confirmação)
- Suas informações de pagamento (para cobrar)
Esses dados precisam ir para algum lugar. Eles vivem em:
- Sistemas da Ledger
- Processadores de pagamento (Global-e)
- Provedores de envio
- Plataformas de suporte ao cliente
- Ferramentas de marketing por e-mail
Cada um desses é uma superfície de ataque. Cada parceiro, fornecedor e integração aumenta o risco.
O Perigo Real: Phishing
Seu cripto não está em risco pelo vazamento de dados em si. Sua frase de 24 palavras não foi exposta.
Mas os dados SÃO perfeitos para phishing direcionado:
- Atacantes sabem que você possui uma Ledger
- Eles têm seu e-mail e endereço físico
- Podem enviar e-mails convincentes de "alerta de segurança"
- Podem até enviar "dispositivos de substituição" falsos pelo correio
O vazamento de 2020 gerou anos de campanhas sofisticadas de phishing. Espere o mesmo deste.
O Que Clientes Ledger Devem Fazer
- Assuma que você é um alvo: Trate qualquer comunicação relacionada à Ledger com extrema suspeita
- Nunca clique em links de e-mail: Vá diretamente a ledger.com se precisar acessar sua conta
- Ignore ligações de "suporte": A Ledger nunca ligará sobre problemas de segurança
- Vigie sua caixa de correio: Phishing físico (dispositivos falsos, cartas falsas) é comum após vazamentos
- Nunca insira sua frase-semente em nenhum lugar exceto no próprio dispositivo hardware
A Alternativa com Privacidade em Primeiro Lugar
E se comprar uma carteira não exigisse entregar seus dados pessoais?
A Zelf adota uma abordagem diferente:
1. Sem Necessidade de Envio Físico
A Zelf é baseada em software. Sem hardware para enviar significa:
- Sem necessidade de endereço de entrega
- Sem exposição de processador de pagamento
- Sem compartilhamento de dados com parceiros logísticos
2. Coleta Mínima de Dados
Coletamos apenas o essencial:
- Sem frases-semente armazenadas em qualquer lugar
- Sem dados biométricos transmitidos a servidores
- Provas ZK verificam identidade sem revelá-la
3. Arquitetura de Conhecimento Zero
A autenticação acontece através de provas criptográficas, não segredos armazenados:
- Podemos verificar que é você sem saber quem você é
- Sem honeypot de dados de clientes para violar
- Sem processadores terceirizados manipulando informações sensíveis
O Trade-Off
Carteiras hardware oferecem cold storage — chaves que nunca tocam a internet. Esse é um benefício de segurança genuíno.
Mas vêm com um custo oculto: a empresa sabe quem as possui. E esse conhecimento cria uma lista de alvos para atacantes.
A Zelf oferece um trade-off diferente:
- Baseada em mobile (conectada, mas fortemente protegida)
- Preserva a privacidade (sem dados de clientes para vazar)
- Recuperável (sem frases-semente perdidas)
Nenhuma abordagem é perfeita. Mas apenas uma continua tendo vazamentos.
O Ponto Final
O vazamento Ledger/Global-e é um lembrete de que segurança não é apenas sobre suas chaves — é sobre seus dados.
Cada peça de informação que você compartilha cria superfície de ataque. Cada fornecedor na cadeia é um potencial elo fraco. O modelo de negócios da indústria de carteiras hardware inerentemente cria essas vulnerabilidades.
Verdadeira segurança significa minimizar o que você compartilha, não apenas criptografar o que armazena.