على التشفير
في أعقاب أكبر هجوم في تاريخ الشركة ، وبعد أكثر من أسبوع بقليل من تعيين مات جونسون كبير مسؤولي أمن المعلومات الجديد (CISO) في ليدجر ، أعلنت شركة محفظة الأجهزة ليدجر عن خطواتها الأولى معالجة خرق البيانات والتأكد من عدم تكرار الهجوم.
يتضمن ذلك العمل مع شركة تحليل blockchain Chainalysis لتعقب المتسللين ، مع مكافأة قدرها 10 BTC. اقتباس في الوقت الفعلي) للحصول على المعلومات التي ستؤدي إلى اعتقال المتسلل ومراجعة كاملة للمعلومات التي تحتفظ بها الشركة ومكان تخزينها ومدة الاحتفاظ بها.
اختراق ليدجر
كشف ليدجر علنًا أن بعض معلومات العملاء قد تم اختراقها في يوليو 2020. في ذلك الوقت ، قدرت الشركة أن 9.500 عميل قد تأثروا بالاختراق. في كانون الأول (ديسمبر) 2020 ، كشف ملف تفريغ البيانات "كشف مليون عنوان بريد إلكتروني و 1 اسم وعنوان بريد وأرقام هواتف لأشخاص طلبوا أجهزة ليدجر."
كان عدد الأشخاص المتضررين أعلى بكثير من التقدير الأصلي البالغ 9.500. الآن ، أصدر ليدجر معلومات جديدة حول الاختراق ، وكشف أنه من المحتمل أن يرجع ذلك جزئيًا إلى الأشرار النشطين على Shopify ، شريكها في التجارة الإلكترونية في ذلك الوقت.
Shopify المتسللين
في 23 ديسمبر 2020 ، أبلغت Shopify ليدجر بحادث حصل فيه "بعض الأعضاء غير المصرح لهم من فريق الدعم على سجلات معاملات العملاء ، بما في ذلك دفتر الأستاذ بين أبريل ويونيو 2020".
حتى 21 ديسمبر 2020 ، مع ذلك ، Shopify لم "تجد أن ليدجر استُهدف أيضًا في هذا الهجوم." أخبر Shopify ليدجر أنه مستمر في التحقيق وأنه تم الإبلاغ عن المشكلة إلى سلطات إنفاذ القانون. بالتعاون مع شركة الطب الشرعي Orange Cyberdefense ، فحص ليدجر 292.000 بيانات مسروقة. قالت الشركة إنها أبلغت العملاء بأنهم أصيبوا في 13 يناير.
أمن بيانات دفتر الأستاذ بعد الاختراق
في منشور على تويتر ، كرر ليدجر أن الشركة لن تطلب من العملاء أبدًا 24 كلمة استرداد يمكن استخدامها للوصول إلى البيتكوين والعملات المشفرة. وأشاروا أيضًا إلى أنه حتى يشارك العملاء هذه الكلمات ، كانت أجهزة Ledger الخاصة بهم آمنة.
وفقًا لجونسون ، يحاول ليدجر تجاوز الخصوصية التي تتطلبها لائحة حماية البيانات العامة للاتحاد الأوروبي. سيحذف دفتر الأستاذ البيانات من شريكه في التجارة الإلكترونية وينقل بيانات العميل إلى قاعدة بيانات لا يمكن الوصول إليها من الإنترنت بمجرد تنفيذ الطلب ، قبل أن يصبح من الممكن قانونًا حذفه.
ستقوم الشركة أيضًا بحذف الأسماء والعناوين وأرقام الهواتف من رسائل التأكيد الإلكترونية المرسلة إلى العملاء حتى لا يتم إرسال هذه البيانات عبر موفري البريد الإلكتروني للتجارة الإلكترونية التابعين لجهات خارجية. يعمل الفريق الهندسي ليدجر أيضًا على تطوير منتج "من شأنه حماية أموال المستخدم حتى إذا شاركوا بذرة الاسترداد مع مهاجم."
