Ledger подтвердила, что недавняя утечка данных, затрагивающая некоторых клиентов, произошла из-за ее стороннего партнера по электронной коммерции Global-e, подчеркивая, что ее кошельки, приватные ключи и криптоактивы не были скомпрометированы.
Ledger реагирует на утечку данных Global-e, затрагивающую порядок заказов клиентов
АВТОР
ПОДЕЛИТЬСЯ
Ledger решает проблему утечки данных Global-e
Инцидент, который Ledger осветила в обновлении за январь, включал несанкционированный доступ к системам, управляемым Global-e, службой ведения записей о продажах, которая обрабатывает международные заказы, размещенные через интернет-магазин Ledger. Ledger заявила, что проблема не была связана с ее собственной инфраструктурой.
По заявлению компании, утекшая информация была ограничена данными, связанными с заказами клиентов, включая имена, контактные данные и информацию по доставке, связанную с покупками. Ledger подчеркнула, что данные платежных карт, фразы для восстановления, приватные ключи и балансы кошельков не были вовлечены.
Ledger сообщила, что была уведомлена Global-e после того, как сторонний поставщик обнаружил подозрительную активность в части облачной среды. Global-e впоследствии локализовала инцидент и начала напрямую уведомлять пострадавших клиентов, так как она выступает в качестве контролера данных для информации на этапе оформления заказа.
Несколько крупных аккаунтов в социальных сетях не замедлили распространить детали утечки данных, и вскоре к ним присоединился постоянный поток жалоб, что ясно выразило недовольство ситуацией.
«Предупреждение сообщества: у Ledger снова произошла утечка данных через платежного процессора Global-e, утекли личные данные клиентов (имя и другая контактная информация)», — написал исследователь Onchain ZachXBT на X.
В своем ответе Ledger стремилась четко разграничить данные заказов клиентов и безопасность кошельков. Компания вновь заявила, что ее аппаратные кошельки работают в модели самохранения, что означает, что приватные ключи и фразы для восстановления никогда не покидают устройства и никогда не доступны сторонним поставщикам услуг.
Ledger также предупредила клиентов быть внимательными к попыткам фишинга, которые могут использовать утекшую контактную информацию. Компания вновь подчеркнула, что никогда не будет запрашивать у пользователей фразы для восстановления или конфиденциальную информацию о кошельках через электронную почту, телефонные звонки или личные сообщения.
Хотя Ledger не раскрыла, сколько клиентов пострадало, она заявила, что сотрудничает с Global-e и поддерживает текущую судебно-медицинскую экспертизу, чтобы лучше понять масштабы инцидента. Независимые эксперты по безопасности привлечены в рамках этого расследования.
Обновленное внимание к бывшей утечке данных Ledger
Сообщения компании сосредоточены на прозрачности вокруг того, что было и не было доступно, с повторяющимися уверениями, что утечка не повлияла на продукты Ledger, прошивку или криптографические системы.
Инцидент Global-e также привлек новое внимание к прежним проблемам безопасности данных Ledger. В 2020 году база данных электронной коммерции и маркетинга Ledger была скомпрометирована, что привело к утечке личной информации, связанной с сотнями тысяч клиентов.
Читайте также: Отчет: Ledger рассматривает публичный дебют, так как генеральный директор намекает на IPO или частный раунд
Тот прежний инцидент также не затрагивал данные кошельков, но привел к затянувшимся фишинговым кампаниям и попыткам преследования пострадавших пользователей. Ledger признала инцидент в то время, уведомила регуляторов и предупредила клиентов о рисках социальной инженерии.
Вместе взятые, инциденты с Global-e подчеркивают продолжающиеся риски, связанные с сторонними поставщиками услуг, даже когда основная инфраструктура кошельков остается защищенной. Ledger позиционировала последнюю утечку как напоминание о том, что бдительность клиентов остается критически важной в более широкой экосистеме криптовалют.
FAQ ❓
- Что произошло в инциденте Global-e, связанном с Ledger?
Сторонний поставщик электронной коммерции, используемый Ledger, подвергся несанкционированному доступу, что раскрыло некоторые данные заказов клиентов. - Была ли скомпрометирована инфраструктура кошельков Ledger?
Нет, Ledger заявила, что ее кошельки, приватные ключи, фразы для восстановления и криптоактивы не пострадали. Компания подчеркнула, что ни одна из ее собственных инфраструктур не была затронута, называя этот эпизод чистым вопросом, касающимся исключительно стороннего поставщика. - Какая информация о клиентах была раскрыта?
Раскрытые данные включали детали, связанные с заказами, такие как имена и контактная информация, но не финансовые или данные кошельков. - Почему клиенты Ledger вновь упоминают о нарушении данных в 2020 году?
Прежний инцидент дает контекст для продолжающихся рисков фишинга, связанных с раскрытой личной информацией, даже когда кошельки остаются защищенными.
