Oświadczenie Ledgera: wyciekły dane 1 mln klientów | Wiadomości | CrypS.

Oświadczenie Ledgera: wyciekły dane 1 mln klientów

Michał Misiura
ledger nano Zagrożenia

Kierownictwo Ledgera opublikowało dziś (29.07) wiadomość do użytkowników. Poinformowało w niej o wycieku danych marketingowych, do którego doszło końcem czerwca.

Niepowołana strona trzecia weszła w posiadanie listy miliona adresów mailowych, wykorzystywanych przez Ledger w kampaniach marketingowych. Ponadto w przypadku 9500 klientów wyciekły również dane takie jak: adres, telefon, imię i nazwisko oraz kupiony produkt.

Informacja o luce

Według wiadomości od kierownictwa Legdera, 14 lipca tego roku, prywatna osoba zgłosiła firmie lukę w zabezpieczeniach. Informacje o potencjalnym naruszeniu danych przekazano w ramach programu bug bounty spółki. Jak zapewnia Ledger lukę usunięto natychmiast po otrzymaniu zgłoszenia. Tydzień później firma miała jednak dowiedzieć się, że cyberprzestępcy zdążyli wykorzystać ją jeszcze w czerwcu. Jak poinformowano w komunikacie:

Tydzień po załataniu naruszenia odkryliśmy, że zostało ono wykorzystane 25 czerwca 2020 r. przez nieautoryzowaną stronę trzecią, która uzyskała dostęp do naszej bazy danych e-commerce i marketingu – używanej do wysyłania potwierdzeń zamówień i promocyjnych wiadomości e-mail – składającej się głównie z adresów e-mail, ale z podzbiorem obejmującym również dane kontaktowe i dane dotyczące zamówienia, takie jak imię i nazwisko, adres pocztowy, adres e-mail i numer telefonu. Twoje informacje dotyczące płatności i kryptowalut są bezpieczne.

Naruszone dane i zapewnienia firmy

Największe obawy, ze zrozumiałych przyczyn, mogą odczuwać klienci Ledgera, którzy znaleźli się w grupie 9500 klientów, których dotknęło poważniejsze naruszenie. W cudzych rękach znalazły się bowiem nie tylko ich adresy email, ale także numery telefonu, adresy oraz nazwiska. Ledger ostrzega przed potencjalnymi kampaniami pshishingowymi oraz przypomina, że firma nigdy nie poprosi klienta o podanie jej osobistego seed’a (czyli hasła składającego się z 24 słów).

Firma zaznacza, że postanowiła poinformować o naruszeniu dopiero po rozwiązaniu problemu. W związku z incydentem, Ledger nawiązał współpracę z Orange Cyberdefense, aby ocenić potencjalne szkody. 17 lipca spółka powiadomiła także CNIL – francuski organ ochrony danych. Ponadto Ledger zapewnia, że aktywnie monitoruje, czy baza danych jest sprzedawana w Internecie. Jak do tej pory nie pojawiła się ona jednak w żadnym miejscu. Spółka poinformowała również, że będzie rozwijać program bug bounty oraz, że pracuje nad spełnieniem wymogów wymienionych w ISO 27001.

Komunikat na stronie Ledgera

ledger nano
reklama
reklama

Ostrzeżenie o ryzyku Kryptowaluty oraz produkty lewarowe to bardzo ryzykowne istrumenty finansowe, mogące spowodować szybką utratę kapitału.

Materiały opublikowane na tej stronie mają jedynie cel informacyjny i nie należy ich traktować jako porady inwestycyjnej (rekomendacji) w rozumieniu przepisów ustawy z dnia 29 lipca 2005r. o obrocie instrumentami finansowymi. Nie są również doradztwem prawnym ani finansowym. Opracowania zamieszczone w serwisie Cryps.pl stanowią wyłącznie wyraz poglądów redakcji i użytkowników serwisu i nie powinny być interpretowane w inny sposób.

Niektóre artykuły opatrzone są odnośnikami do innych stron. Służy to uzupełnieniu przedstawionych informacji.
Niektóre jednak linki mają charakter afiliacyjny: prowadzą do oficjalnych stron producentów, na których można kupić opisywany produkt. Jeśli użytkownik dokona transakcji po kliknięciu w link, nasz serwis pobiera z tego tytułu prowizję. Nie wpływa to na finalną cenę produktu, a w niektórych przypadkach ją obniża. Portal CrypS.pl nie ponosi odpowiedzialności za treści, które znajdują się na podlinkowanych stronach.