Der skulle ikke mere end et lyst hoved og en 15-årigs rappe fingre til for at knække, hvad selskabet bag, Ledger, kalder en ‘robust og sikker løsning’ til at opbevare og handle kryptovalutaer med.
For den 15-årige Saleem Rashid har netop offentliggjort på sin blog, hvordan det lykkedes ham at komme ind bag selskabets systemer og skaffe PIN-koder til endnu usolgte Ledger-enheder.
I praksis gav det ham mulighed for at kompromittere de spritnye Ledgers, inden de overhovedet kom ud til køberne. Udover det såkaldte supply-chain hack fandt han en sårbarhed, der også åbner for at hacke enheden, efter den er startet første gang.
Ledger selv fastholder, at ingen er blevet ramt af sikkerhedsbristet.
»Der er ingen, som vi kender til, der er blevet påvirket af sikkerhedshullet,« skriver teamet bag Ledger til Techcrunch. Samtidig fastholder selskabet, at det er ‘meget usandsynligt’, at supply-chain-svagheden kan være blevet udnyttet.
Fire måneder om at lukke hul
Den køber Saleem Rashid, den unge hacker, ikke. Han udtrykte sin utilfredshed med teamet på Twitter, hvor han blandt andet afslørede, at han fandt sikkerhedshullet for fire måneder siden.
Læs også: Allianz: Bitcoin er værdiløs
Siden dengang har han været i dialog med Ledger-teamet. En dialog, han beskriver som af yderst ringe kvalitet.
Ledger-teamet indrømmer, at de har været i kontakt med Saleem Rashid de seneste fem måneder, men forsvarer den lange tid, det har taget dem at lukke sikkerhedshullerne, med, at der var andre sikkerhedstrusler, de skulle tage sig af.
»Alle systemer har sårbarheder,« siger Ledgers CEO, Eric Larchevêque, til Techcrunch.
»Det er en del af den katten-og-musen-leg, der foregår i sikkerhedsbranchen.«