Kumpirmado ng Ledger na ang kamakailang pagkalantad ng datos na nakaapekto sa ilang mga customer ay nagmula sa third-party na e-commerce partner na Global-e, habang binibigyang-diin na ang mga wallet, pribadong key, at crypto assets ay hindi naapektuhan.
Ledger Tumutugon sa Paglabag ng Global-e na Nakakaapekto sa mga Talaan ng Order ng Customer
ISINULAT NI
IBAHAGI
Tinutugunan ng Ledger ang Pagkompromiso ng Datos ng Ikatlong-Party na Global-e
Ang insidente, na tinugunan ng Ledger sa isang January na suporta, ay kinasasangkutan ng di-awtorisadong pag-access sa mga sistemang pinapatakbo ng Global-e, isang merchant-of-record na serbisyo na nagpoproseso ng mga international order na ginawa sa pamamagitan ng online na tindahan ng Ledger. Sinabi ng Ledger na ang isyu ay hindi nagmula sa sarili nitong imprastruktura.
Ayon sa kumpanya, ang nalantad na impormasyon ay limitado sa datos ng mga order ng customer, kabilang ang mga pangalan, contact details, at impormasyong pagpapadala na nauugnay sa mga binili. Binigyang-diin ng Ledger na ang mga detalye ng payment card, recovery phrases, pribadong key, at balanse ng wallet ay hindi kasama.
Sinabi ng Ledger na sila ay inabisuhan ng Global-e matapos masumpungan ng third-party ang kahina-hinalang aktibidad sa bahagi ng kanilang cloud environment. Ang Global-e ay kalaunan ay na-contain ang insidente at nagsimulang abisuhan ang mga apektadong customer nang direkta, bilang ito ang nagsisilbi bilang tagakontrol ng datos para sa impormasyon ng pag-checkout.
Ilang malalaking pangalan ng mga social media account ay hindi nag-aksaya ng panahon sa pagbabalita ng mga detalye ng paglabag sa datos, at sila ay agad na sinundan ng tuloy-tuloy na reklamo na naglinaw na kasama sa pakete ang pagkadismaya.
“Babala sa komunidad: Nagkaroon ng paglabag sa datos ang Ledger sa pamamagitan ng payment processor na Global-e na naglalantad ng personal na datos ng mga customer (pangalan at ibang impormasyon sa pakikipag-ugnayan),” Onchain investigator na si ZachXBT sumulat sa X.
Sa kanilang tugon, sinikap ng Ledger na gumuhit ng malinaw na linya sa pagitan ng datos ng mga order ng customer at seguridad ng wallet. Muling sinabi ng kumpanya na ang kanilang hardware wallets ay gumagana sa isang self-custodial na modelo, ibig sabihin ang mga pribadong key at recovery phrases ay hindi kailanman umaalis sa device at hindi kailanman naa-access sa mga third-party na service provider.
Nagbabala rin ang Ledger sa mga customer na manatiling alerto sa phishing attempts na maaaring gumamit ng mga nalantad na contact details. Muling sinabi ng kumpanya na hindi ito hihingi sa mga user na ibahagi ang recovery phrases o sensitibong impormasyon ng wallet sa pamamagitan ng email, tawag sa telepono, o direktang mensahe.
Bagaman hindi ibinunyag ng Ledger kung gaano karaming mga customer ang naapektuhan, sinabi nilang sila ay nakikipagtulungan sa Global-e at sumusuporta sa kasalukuyang forensic investigation upang mas maunawaan ang lawak ng insidente. Ang mga independent security expert ay kasali bilang bahagi ng pagsusuring iyon.
Na-renew na Atensyon Isinentro sa Nakaraan ng Ledger na Paglabag sa Datos
Ang mensahe ng kumpanya ay nakatutok sa transparency tungkol sa kung ano ang naapektuhan at kung ano ang hindi, na may paulit-ulit na katiyakan na ang paglabag ay hindi nakaapekto sa mga produkto ng Ledger, firmware, o cryptographic systems.
Ang insidente sa Global-e ay nagdulot din ng na-renew na atensyon sa mga nakaraang hamon sa seguridad ng datos ng Ledger. Noong 2020, isang e-commerce at marketing database ng Ledger ay nakompromiso, na naglantad ng personal na impormasyon na nauugnay sa daan-daang libong mga customer.
Basahin din: Ulat: Nag-iisip ang Ledger ng Pampublikong Pagdedebut Habang Nagpapahiwatig ang CEO ng IPO o Pribadong Round
Ang nauna pang paglabag na iyon ay hindi nagsangkot ng datos ng wallet, ngunit nagdulot ito ng matagalang phishing campaigns at mga pagsubok sa panliligalig laban sa mga naapektuhang gumagamit. Kinilala ng Ledger ang insidente noong panahong iyon, inabisuhan ang mga regulator, at binalaan ang mga customer tungkol sa mga panganib sa social-engineering.
Kapag pinagsama-sama, ang insidente ng Global-e ay nagha-highlight ng nagpapatuloy na mga panganib na nauugnay sa mga third-party na service provider, kahit na ang pangunahing imprastruktura ng wallet ay nananatiling ligtas. Naiposisyon ng Ledger ang pinakahuling pagkalantad bilang isang paalala na ang pagbabantay ng customer ay nananatiling kritikal sa mas malawak na ecosystem ng crypto.
FAQ ❓
- Ano ang nangyari sa insidente ng Global-e na kinasasangkutan ng Ledger?
Isang third-party na e-commerce provider na ginagamit ng Ledger ang nakaranas ng di-awtorisadong pag-access na naglantad ng ilang datos ng order ng customer. - Ang imprastruktura ba ng wallet ng Ledger ay nakompromiso?
Hindi, sinabi ng Ledger na ang kanilang mga wallet, pribadong key, recovery phrases, at crypto assets ay hindi naapektuhan. Binigyang-diin ng kumpanya na walang bahagi ng sariling imprastruktura ng Ledger ang nadungisan, na itinuturing ang episode bilang isang malinaw na isyu na limitado lamang sa isang third-party na vendor. - Anong impormasyon ng customer ang nalantad?
Kabilang sa nalantad na datos ang mga detalye ng mga order tulad ng mga pangalan at impormasyon sa pakikipag-ugnayan, hindi datos ng pinansyal o wallet. - Bakit binabanggit muli ng mga customer ng Ledger ang paglabag ng datos noong 2020 ng kumpanya?
Nagbibigay ng konteksto ang naunang insidente sa patuloy na panganib ng phishing na nauugnay sa mga nalantad na personal na impormasyon, kahit na ang mga wallet ay nananatiling ligtas.
