Ledger vastab Global-e rikkumisele, mis mõjutab klientide tellimuste andmeid

Ledger kommenteerib Global-e andmeleket

Juhtum, mille Ledger käsitles jaanuari tugivärskenduses, hõlmas volitamata juurdepääsu süsteemidele, mida haldab Global-e, kaupmehe-teenuse osutaja, mis töötleb rahvusvahelisi tellimusi, mis on tehtud läbi Ledger’i veebipoe. Ledger teatas, et probleem ei tekkinud tema enda infrastruktuurist.

Ettevõtte sõnul oli avalikustatud teave piiratud tellimustega seotud kliendiandmetega, sealhulgas nimesid, kontaktandmeid ja saatmise teavet, mis on seotud ostudega. Ledger rõhutas, et maksekaarditeavet, taastamislauseid, privaatvõtmeid ega rahakoti saldosid ei olnud kaasatud.

Ledger teatas, et sai teate Global-e-lt pärast seda, kui kolmas osapool tuvastas kahtlase tegevuse oma pilvesüsteemis. Global-e piiras seejärel juhtumit ja hakkas mõjutatud kliente otse teavitama, kuna see toimib kassasoleku teabe andmete vastutavana töötlejana.

Mitmed tuntud sotsiaalmeedia kontod ei raisanud aega andmelekkega seotud üksikasjade edastamiseks ning nendega liitus kiiresti katkematu kaebuste voog, mis tegi selgeks, et pettumus oli paketi osa.

“Kogukonna hoiatus: Ledgeril oli veel üks andmeleke maksetöötleja Global-e kaudu, mis paljastas klientide isiklikud andmed (nimi ja muud kontaktteave),” kirjutas Onchaini uurija ZachXBT X-is.

Oma vastuses püüdis Ledger selgelt eristada tellimustega seotud kliendiandmeid ja rahakoti turvalisust. Ettevõte kordas, et nende riistvaralised rahakotid töötavad isehooldusel põhineva mudelina, mis tähendab, et privaatvõtmed ja taastamislauseid ei lahku kunagi seadmest ja pole kunagi kolmandate teenuseosutajate jaoks ligipääsetavad.

Ledger hoiatas kliente olema tähelepanelik andmepüügi katsete suhtes, mis võivad kasutada avalikustatud kontaktandmeid. Ettevõte kordas, et nad ei küsi kunagi kasutajatelt taastamislauseid või tundlikku rahakoti teavet e-posti, telefonikõnede või otseteatiste kaudu.

Kuigi Ledger ei avalikustanud, kui palju kliente oli mõjutatud, ütles see, et teeb koostööd Global-e-ga ja toetab käimasolevat kohtuekspertiisi uurimist, et paremini mõista juhtumi ulatust. Selles ülevaates on osalenud sõltumatud küberturvaspetsialistid.

Uuenenud tähelepanu keskendub Ledger’i varasemale andmelekele

Ettevõtte sõnumid on keskendunud läbipaistvusele selle osas, mis oli ja mis ei olnud juurdepääsetav, korduvate kinnitustega, et rikkumine ei mõjutanud Ledger’i tooteid, püsivara ega krüptograafilisi süsteeme.

Global-e juhtum on samuti suunanud tähelepanu Ledger’i varasematele andmeturbeprobleemidele. 2020. aastal kompromiteeriti Ledger’i e-kaubanduse ja turunduse andmebaas, mis paljastas isikliku teabe sadadele tuhandetele klientidele.

Samuti loe: Aruanne: Ledger kaalub avalikku debüüti, kuna CEO vihjab IPO-le või eravoorule

See varasem rikkumine ei hõlmanud ka rahakoti andmeid, kuid see tõi kaasa pikemaajalisi andmepüügikampaaniaid ja ahistamisepüüdeid mõjutatud kasutajate vastu. Ledger tunnistas juhtumit tol ajal, teavitas regulaatoreid ja hoiatas kliente sotsiaalse manipuleerimise riskide eest.

Kokkuvõttes toob Global-e juhtum esile jätkuvad riskid, mis on seotud kolmandate osapoolte teenuseosutajatega, isegi kui peamine rahakoti infrastruktuur jääb turvaliseks. Ledger on kujundanud viimase lekke meeldetuletusena, et klientide valvsus on laiemas krüptoökosüsteemis endiselt kriitiline.

KKK ❓

• Mida sisaldas Global-e juhtum, mis hõlmas Ledger’it?
  Kolmanda osapoole e-kaubanduse pakkuja, mida Ledger kasutas, koges volitamata juurdepääsu, mis paljastas mõningad kliendi tellimustega seotud andmed.
• Kas Ledger’i rahakoti infrastruktuur oli ohustatud?
  Ei, Ledger teatas, et tema rahakotid, privaatvõtmed, taastamislauseid ja krüptovarad ei olnud mõjutatud. Firma rõhutas, et mitte ükski Ledger-i enda infrastruktuur ei olnud mõjutatud, kujutades episoodi kui puhtalt kolmanda osapoole müüjaga seotud küsimust.
• Milline kliendi teave oli avalikustatud?
  Avalikustatud andmed hõlmasid tellimustega seotud üksikasju, nagu nimed ja kontaktteave, mitte finants- või rahakoti andmeid.
• Miks viitavad Ledger’i kliendid jälle firma 2020. aasta andmelekkest?
  Varasem juhtum annab konteksti jätkuvatele andmepüügiriskidele, mis on seotud isikuandmete paljastamisega, isegi kui rahakotid jäävad turvaliseks.