Виробник апаратних гаманців Ledger в червні піддався злому. Хакери отримали доступ до мільйона електронних листів та документів, фінансові дані користувачів не скомпрометовані.
Компанія Ledger оголосила, що її маркетингова база даних була зламана в минулому місяці – це призвело до витоку мільйони електронних листів і деяких особистих документів. Атака не вплинула на безпеку гаманців.
Згідно статті в блозі Ledger, 14 липня дослідник, який бере участь у програмі винагород за виявлення вразливостей в продуктах компанії, повідомив про можливий витік даних. Компанія усунула вразливість і провела внутрішнє розслідування. Проникнення в систему безпеки сталося трьома тижнями раніше, 25 червня. Сторонній інструмент проник в базу даних маркетингу та електронної комерції за допомогою ключа API.
Атака була спрямована тільки на маркетингову базу даних, хакери не могли отримати доступ до мнемоническим фразам користувачів або закритих ключів гаманців. Вся фінансова інформація компанії також не була порушена.
«Були скомпрометовані виключно контактні дані та деталі замовлень. В основному це адреси електронної пошти приблизно одного мільйона наших клієнтів. У ході розслідування ми також змогли встановити, що були скомпрометовані імена, поштові адреси, номери телефонів та інформація про замовлені продукти», – заявила компанія.
У заяві для клієнтів генеральний директор Ledger Паскаль Готьє (Pascal Gauthier) сказав, що компанія «вкрай жалкує» про цей інцидент. Він попередив користувачів, що слід побоюватися спроб фішингу:
«Ми дуже серйозно ставимося до конфіденційності. Ми виявили цю уразливість завдяки нашій програмі винагород за пошук вразливостей і одразу ж усунули її. Незалежно від всього, що ми зробили, щоб уникнути інциденту і виправити ситуацію, ми щиро просимо вибачення за незручності, що це може вам заподіяти».
Ledger заявила, що французьке Управління з захисту даних (CNIL) було повідомлено про інцидент 16 липня. Фірма також працює з Orange Cyberdefense (OCD), щоб відстежити можливий продаж бази даних в Інтернеті. Всі постраждалі користувачі були повідомлені про проблему сьогодні, і розслідування триває.
Нагадаємо, що в травні хакер виставив
на продаж імовірно вкрадені ним дані покупців трьох популярних апаратних гаманців – Trezor, Ledger і KeepKey. Тоді Ledger випустила заяву, в якій йшлося, що компанія «серйозно ставиться до цього питання і розслідує можливі вразливості».
Thanks!
Our editors are notified.