Ledger Responde à Violação do Global-e que Afeta Registros de Pedidos de Clientes

Ledger Aborda Comprometimento de Dados de Terceiros Global-e

O incidente, que a Ledger abordou em uma atualização de suporte de janeiro, envolveu acesso não autorizado a sistemas operados pela Global-e, um serviço de comerciante registrado que processa pedidos internacionais realizados através da loja online da Ledger. A Ledger disse que o problema não surgiu de sua própria infraestrutura.

De acordo com a empresa, as informações expostas foram limitadas a dados de pedidos dos clientes, incluindo nomes, dados de contato e informações de envio associadas às compras. A Ledger enfatizou que dados de cartão de pagamento, frases de recuperação, chaves privadas e saldos de carteira não foram envolvidos.

A Ledger disse que foi notificada pela Global-e depois que a terceira parte identificou atividade suspeita em parte de seu ambiente em nuvem. A Global-e posteriormente conteve o incidente e começou a notificar os clientes afetados diretamente, pois atua como o controlador de dados para informações de checkout.

Várias contas de redes sociais conhecidas não perderam tempo em divulgar detalhes da violação de dados, sendo rapidamente seguidas por um fluxo constante de reclamações que deixaram claro que a frustração era parte do pacote.

“Alerta comunitário: A Ledger teve outra violação de dados via processador de pagamento Global-e vazando dados pessoais de clientes (nome e outras informações de contato)”, escreveu o investigador on-chain ZachXBT no X.

Em sua resposta, a Ledger procurou traçar uma linha clara entre dados de pedidos de clientes e segurança de carteiras. A empresa reiterou que suas carteiras de hardware operam em um modelo de auto-custódia, o que significa que chaves privadas e frases de recuperação nunca deixam o dispositivo e nunca são acessíveis por prestadores de serviços terceirizados.

A Ledger também alertou os clientes para permanecerem atentos a tentativas de phishing que possam utilizar os dados de contato expostos. A empresa reiterou que nunca pedirá aos usuários para compartilharem frases de recuperação ou informações sensíveis de carteira por e-mail, telefonemas ou mensagens diretas.

Embora a Ledger não tenha divulgado quantos clientes foram afetados, afirmou que está cooperando com a Global-e e apoiando uma investigação forense em andamento para melhor entender o escopo do incidente. Especialistas independentes de segurança foram contratados como parte dessa revisão.

Atenção Renovada Acentua Desafio de Violação de Dados da Ledger no Passado

A mensagem da empresa tem se concentrado na transparência sobre o que foi e não foi acessado, com garantias repetidas de que a violação não impactou produtos, firmware ou sistemas criptográficos da Ledger.

O incidente com a Global-e também renovou a atenção sobre os desafios de segurança de dados da Ledger no passado. Em 2020, um banco de dados de e-commerce e marketing da Ledger foi comprometido, expondo informações pessoais de centenas de milhares de clientes.

Veja também: Relatório: Ledger Contempla Estreia Pública enquanto CEO Sugere IPO ou Rodada Privada

Essa violação anterior não envolveu dados de carteira, mas levou a prolongadas campanhas de phishing e tentativas de assédio contra os usuários afetados. A Ledger reconheceu o incidente na época, notificou as autoridades reguladoras e alertou os clientes sobre riscos de engenharia social.

Tomados em conjunto, o incidente da Global-e destaca os riscos contínuos associados a fornecedores de serviços terceirizados, mesmo quando a infraestrutura central de carteiras permanece segura. A Ledger posicionou a última exposição como um lembrete de que a vigilância do cliente continua sendo crítica no ecossistema cripto mais amplo.

FAQ ❓

• O que aconteceu no incidente da Global-e envolvendo a Ledger?
  Um provedor de e-commerce terceirizado usado pela Ledger experimentou acesso não autorizado que expôs alguns dados de pedidos de clientes.
• A infraestrutura de carteiras da Ledger foi comprometida?
  Não, a Ledger afirmou que suas carteiras, chaves privadas, frases de recuperação e ativos criptográficos não foram afetados. A empresa destacou que nenhuma infraestrutura própria da Ledger foi tocada, caracterizando o episódio como uma questão isolada confinada inteiramente a um fornecedor terceirizado.
• Quais informações dos clientes foram expostas?
  Os dados expostos incluíam detalhes relacionados a pedidos como nomes e informações de contato, não dados financeiros ou de carteiras.
• Por que os clientes da Ledger estão mencionando novamente a violação de dados de 2020 da empresa?
  O incidente anterior fornece contexto para os riscos contínuos de phishing relacionados a informações pessoais expostas, mesmo quando as carteiras permanecem seguras.