Ledger ha confermato ufficialmente di aver subito un data breach il 25 giugno 2020 a causa di un attacco hacker.
La scoperta è stata effettuata solamente 14 luglio, grazie ad un ricercatore che ha partecipato al bounty program della società francese.
Appena ricevuto il rapporto del ricercatore in merito ad un potenziale data breach, è scattata un’indagine interna che ha corretto il breach, e scoperto che era stato sfruttato il 25 giugno da una terza parte non autorizzata che è riuscita ad avere accesso al loro database e-commerce e marketing.
Questo database viene utilizzato dall’azienda per inviare conferme d’ordine ed e-mail promozionali, ed è costituito principalmente da indirizzi e-mail.
Tuttavia in alcuni casi sono memorizzati in esso anche dettagli di contatto e relativi agli ordini, come nome e cognome, indirizzo postale, e numero di telefono.
La società comunque avverte che le informazioni di pagamento ed i fondi sono al sicuro.
Ledger data breach: cosa è successo
L’hacker ha avuto accesso a questo database tramite una chiave API, che ora è stata disattivata e non è più utilizzabile.
In totale ha avuto accesso a circa 1 milione di indirizzi email, ed a dati aggiuntivi di 9.500 clienti.
Non ha invece avuto accesso ad alcuna credenziale di accesso al sito, e nessuna password.
Inoltre il data breach riguarda solo questo specifico database, e non ha nulla a che fare con i wallet hardware dell’azienda, o Ledger Live e gli asset crypto, a cui l’hacker non ha mai avuto accesso.
Infine il 17 luglio la società ha notificato l’accaduto al CNIL, ovvero l’autorità francese per la protezione dei dati che vigila sull’applicazione della legge sulla privacy e la conservazione dei dati personali, ed ha presentato un reclamo formale alle autorità in modo che possano indagare.
Per ora non risulta che il database sia stato messo in vendita su Internet.
La società sottolinea anche che il possesso del seed dei wallet (le 24 parole) è esclusivo degli utenti, e che Ledger non lo chiede mai a nessuno. In altre parole chiunque lo faccia potrebbe essere un truffatore, anche se potrebbe apparire impropriamente come un emissario della stessa società.
Il CEO di Ledger, Pascal Gauthier, ha anche inviato una comunicazione agli utenti con la quale ha confermato l’attacco ed ha aggiunto:
“Siamo estremamente dispiaciuti per questo incidente. Prendiamo molto sul serio la privacy e ci scusiamo sinceramente per gli inconvenienti che questo problema potrebbe causare”.
