Dane klientów firmy Ledger – producenta portfeli sprzętowych – zostały wykradzione

W środę firma Ledger, zajmująca się portfelami sprzętowymi do kryptowalut, opisała naruszenie danych, które miało miejsce pod koniec czerwca.

Naruszenie koncentrowało się głównie na bazie danych marketingowych i e-commerce, w wyniku czego ujawniono informacje o klientach, w tym około 1 miliona adresów e-mail.

Ledger potwierdził, że usunął już lukę, która została odkryta przez użytkownika biorącego udział w programie bug bounty firmy. Luka została zgłoszona 14 lipca.

Firma uspokaja też swoich użytkowników, że ​​informacje o płatnościach i fundusze kryptograficzne pozostały nienaruszone. Klienci, których dotyczy problem, zostali już powiadomieni e-mailem w którym szczegółowo zostało opisane naruszenie danych.

Ledger natychmiast załatał lukę i otworzył wewnętrzne dochodzenie, okazało się, że luka była już wcześniej wykorzystana. Osoba ujawniająca dane uzyskała dostęp do bazy danych marketingu i handlu elektronicznego za pomocą klucza API.

Ponieważ atak był wymierzony w bazę danych marketingu i handlu elektronicznego, osoba lub osoby stojące za nim nie mogły uzyskać dostępu do fraz odzyskiwania ani kluczy prywatnych użytkowników. Informacje dotyczące płatności, hasła i fundusze też nie zostały naruszone, a naruszenie nie jest związane z portfelami sprzętowymi Ledger ani produktem zabezpieczającym Ledger Live.

„Chodziło wyłącznie o dane kontaktowe i dane zamówienia. Jest to głównie adres e-mail około 1 miliona naszych klientów. Po zbadaniu sprawy udało nam się również ustalić, że w części z nich również została ujawnione: imię i nazwisko, adres pocztowy, telefon liczba i zamówione produkty.

Twoje aktywa kryptograficzne są bezpieczne” – napisał Ledger w swoim e-mailu do klientów.

Z tego powodu Ledger zalecił klientom, aby uważali na próby phishingu i dodał, że nigdy nie poprosi użytkowników o frazy odzyskiwania.

W poście Ledger napisał, że bardzo żałuje za zaistniałą sytuację.

„Traktujemy prywatność bardzo poważnie, odkryliśmy tę lukę w zabezpieczeniach dzięki naszemu własnemu programowi wykrywania błędów i natychmiast ją naprawiliśmy. Jednak niezależnie od wszystkiego, co zrobiliśmy, aby uniknąć i naprawić tę sytuację, serdecznie przepraszamy za niedogodności, jakie ta sprawa może spowodować”.

Dwa dni po tym, jak badacz ujawnił lukę, Ledger złożył raport we francuskim urzędzie ochrony danych, CNIL, a do 21 lipca nawiązał współpracę z Orange Cyberdefense (OCD) w celu oceny potencjalnych szkód i dalszej identyfikacji naruszeń.

Firma nadal szuka dowodów sprzedaży skradzionych danych w Internecie, ale stwierdziła, że ​​nie znalazła żadnego dowodu, by sądzić, że tak tak się satło. OCD złożyło wstępny raport 24 lipca, ale dochodzenie CNIL wciąż trwa.