Kierownictwo Ledgera opublikowało dziś (29.07) wiadomość do użytkowników. Poinformowało w niej o wycieku danych marketingowych, do którego doszło końcem czerwca.
Niepowołana strona trzecia weszła w posiadanie listy miliona adresów mailowych, wykorzystywanych przez Ledger w kampaniach marketingowych. Ponadto w przypadku 9500 klientów wyciekły również dane takie jak: adres, telefon, imię i nazwisko oraz kupiony produkt.
Informacja o luce
Według wiadomości od kierownictwa Legdera, 14 lipca tego roku, prywatna osoba zgłosiła firmie lukę w zabezpieczeniach. Informacje o potencjalnym naruszeniu danych przekazano w ramach programu bug bounty spółki. Jak zapewnia Ledger lukę usunięto natychmiast po otrzymaniu zgłoszenia. Tydzień później firma miała jednak dowiedzieć się, że cyberprzestępcy zdążyli wykorzystać ją jeszcze w czerwcu. Jak poinformowano w komunikacie:
Tydzień po załataniu naruszenia odkryliśmy, że zostało ono wykorzystane 25 czerwca 2020 r. przez nieautoryzowaną stronę trzecią, która uzyskała dostęp do naszej bazy danych e-commerce i marketingu - używanej do wysyłania potwierdzeń zamówień i promocyjnych wiadomości e-mail - składającej się głównie z adresów e-mail, ale z podzbiorem obejmującym również dane kontaktowe i dane dotyczące zamówienia, takie jak imię i nazwisko, adres pocztowy, adres e-mail i numer telefonu. Twoje informacje dotyczące płatności i kryptowalut są bezpieczne.
Naruszone dane i zapewnienia firmy
Największe obawy, ze zrozumiałych przyczyn, mogą odczuwać klienci Ledgera, którzy znaleźli się w grupie 9500 klientów, których dotknęło poważniejsze naruszenie. W cudzych rękach znalazły się bowiem nie tylko ich adresy email, ale także numery telefonu, adresy oraz nazwiska. Ledger ostrzega przed potencjalnymi kampaniami pshishingowymi oraz przypomina, że firma nigdy nie poprosi klienta o podanie jej osobistego seed'a (czyli hasła składającego się z 24 słów).
Firma zaznacza, że postanowiła poinformować o naruszeniu dopiero po rozwiązaniu problemu. W związku z incydentem, Ledger nawiązał współpracę z Orange Cyberdefense, aby ocenić potencjalne szkody. 17 lipca spółka powiadomiła także CNIL - francuski organ ochrony danych. Ponadto Ledger zapewnia, że aktywnie monitoruje, czy baza danych jest sprzedawana w Internecie. Jak do tej pory nie pojawiła się ona jednak w żadnym miejscu. Spółka poinformowała również, że będzie rozwijać program bug bounty oraz, że pracuje nad spełnieniem wymogów wymienionych w ISO 27001.
Komunikat na stronie Ledgera
Komentarze