A Ledger megerősítette, hogy a nemrégiben történt adatvédelmi incidens, amely néhány ügyfelet érintett, a harmadik fél e-kereskedelmi partnerétől, a Global-e-től származik, miközben hangsúlyozta, hogy a pénztárcái, a privát kulcsok és a kriptoeszközök nem kerültek veszélybe.
Ledger reagál a Global-e adatvédelmi incidensére, amely a vásárlói rendelésrekordokat érinti
ÍRTA
MEGOSZTÁS
Ledger reagál a harmadik fél Global-e adatvédelmi kompromittálódására
Az incidens, amelyet a Ledger megoldott egy januári támogatási frissítésben, a Global-e által üzemeltetett rendszerekhez való jogosulatlan hozzáférést érintett, amely egy kereskedői szolgáltatást nyújt, ami a Ledger online boltján keresztül leadott nemzetközi megrendeléseket dolgozza fel. A Ledger elmondta, hogy a probléma nem a saját infrastruktúrájából ered.
A vállalat szerint a kiszivárgott információk korlátozódtak a rendelésekkel kapcsolatos ügyféladatokra, beleértve a neveket, a kapcsolati adatokat és a szállítási információkat a vásárlásokkal kapcsolatban. A Ledger hangsúlyozta, hogy sem a fizetési kártyaadatok, sem a helyreállítási kifejezések, a privát kulcsok és a pénztárca egyenlegek nem kerültek bele.
A Ledger elmondta, hogy a Global-e értesítette őket, miután a harmadik fél gyanús tevékenységet azonosított a felhő környezetének egy részében. A Global-e ezt követően tartalmazta az incidenst és megkezdte az érintett ügyfelek közvetlen értesítését, mivel az ellenőrzési információ adatkezelőjeként szolgál.
Számos ismert közösségi médiafiók nem vesztegette az időt az adatvédelmi megsértés részleteinek közvetítésével, és őket gyorsan követte a folyamatos panaszáradat, amely világossá tette, hogy a csalódottság is része a csomagnak.
„Közösségi figyelmeztetés: A Ledgernek egy újabb adatvédelmi megsértése volt a Global-e nevű fizetési szolgáltatón keresztül, amely kiszivárogtatta az ügyfelek személyes adatait (nehéz és egyéb kapcsolattartási információ),” írta az Onchain kutató, ZachXBT az X-en bejegyzésében.
Reakciójában a Ledger világosan szeretné elhatárolni az ügyfélszolgálati adatokat és a pénztárcabiztonságot. A cég megismételte, hogy hardveres pénztárcái önálló felügyeleti modellben működnek, ami azt jelenti, hogy a privát kulcsok és a helyreállítási kifejezések soha nem hagyják el az eszközt, és a harmadik fél szolgáltatói soha nem férhetnek hozzájuk.
A Ledger figyelmeztette az ügyfeleket, hogy maradjanak éberek a kiszivárgott kapcsolattartási információkat esetleg felhasználó adathalász kísérletekkel szemben. A cég megismételte, hogy soha nem kéri a felhasználókat, hogy osszák meg a helyreállítási kifejezéseiket vagy érzékeny pénztárcainformációikat e-mailben, telefonhívásban vagy közvetlen üzenetben.
Bár a Ledger nem közölte, hány ügyfelét érintette a probléma, azt mondta, hogy együttműködik a Global-e-vel és támogat egy folyamatban lévő igazságügyi vizsgálatot az esetlépték jobb megértése érdekében. Független biztonsági szakértőket is bevontak a felülvizsgálat részeseiként.
Újabb figyelem a Ledger korábbi adatvédelmi incidensén
A cég kommunikációja átláthatóságra törekedett azon, hogy mi volt és mi nem érintett, és ismételtje biztosította, hogy a megsértés nem érintette a Ledger termékeit, firmware-jét vagy kriptográfiai rendszereit.
A Global-e incidens újra felhívta a figyelmet a Ledger korábbi adatbiztonsági kihívásaira. 2020-ban feltörték a Ledger e-kereskedelmi és marketing adatbázisát, amely több százezer ügyfélhez kötött személyes információkat hozott nyilvánosságra.
Olvassa el még: Jelentés: A Ledger a nyilvános részvénykibocsátás vagy privát kör előkészítésén gondolkodik, mint ahogy a vezérigazgató utal rá.
Ez a korábbi megsértés sem érintette a pénztárca adatait, de hosszú távú adathalász kampányokat és zaklatási kísérleteket eredményezett az érintett felhasználók ellen. A Ledger akkor elismerte az incidenst, értesítette a hatóságokat, és figyelmeztette az ügyfeleket a szociális mérnöki kockázatokra.
Ezek együtt a Global-e incidens rámutat a harmadik fél szolgáltatókhoz kapcsolódó folyamatos kockázatokra, még akkor is, ha a fő pénztárca infrastruktúra biztonságos marad. A Ledger az utóbbi expozíciót emlékeztetőnek pozicionálta arra, hogy a vásárlói éberség továbbra is kritikus fontosságú a szélesebb kripto ökoszisztémában.
GYIK ❓
- Mi történt a Global-e incidenst illetően, amely a Ledger-t érintette?
A Ledgert használó harmadik fél e-kereskedelmi szolgáltató jogosulatlan hozzáférést tapasztalt, ami néhány ügyfél rendelési adatainak kiszivárgásához vezetett. - Komprimálták a Ledger pénztárca infrastruktúráját?
Nem, a Ledger elmondta, hogy a pénztárcák, privát kulcsok, helyreállítási kifejezések és kriptoeszközök nem érintettek. A cég hangsúlyozta, hogy a Ledger infrastruktúrája nem érintett, és az eset teljes egészében egy harmadik fél szolgáltatójához köthető. - Milyen ügyfélinformációk szivárogtak ki?
A kiszivárgott adatok rendelésekkel kapcsolatos részleteket tartalmaztak, mint például neveket és kapcsolattartási adatokat, nem pedig pénzügyi vagy pénztárca adatokat. - Miért emlegetik újra a Ledger ügyfelei a vállalat 2020-as adatvédelmi incidensét?
A korábbi incidens kontextust nyújt a kiszivárgott személyes adatokhoz kötődő folyamatos adathalász kockázatokhoz, még akkor is, ha a pénztárcák biztonságosak maradnak.
