na kryptoměně
V důsledku největšího útoku v historii společnosti a jen něco málo přes týden po přijetí nového hlavního ředitele pro informační bezpečnost (CISO) Ledgera Matta Johnsona společnost Ledger s hardwarovou peněženkou oznámila první kroky řešit narušení dat a zajistit, aby se útok již neopakoval.
Patří mezi ně práce s blockchainovou analytickou firmou Chainalysis na hledání hackerů s odměnou 10 BTC. citát v reálném čase) za informace, které povedou k zatčení hackera, a úplnou kontrolu toho, jaké informace společnost uchovává, kde jsou uloženy a jak dlouho jsou uchovávány.
Ledgerův hack
Ledger veřejně odhalil, že některé informace o zákaznících byly ohroženy v červenci 2020. V té době společnost odhadovala, že hackerem bylo zasaženo 9.500 2020 zákazníků. V prosinci 1 datová skládka „odhalila 272.000 milion e-mailových adres a XNUMX XNUMX jmen, poštovních adres a telefonních čísel lidí, kteří si objednali zařízení společnosti Ledger.“
Počet postižených osob byl mnohem vyšší než původní odhad 9.500 XNUMX. Nyní společnost Ledger zveřejnila nové informace o hackeru, které odhalily, že to bylo pravděpodobně částečně způsobeno padouchy aktivními v Shopify, v té době jeho e-commerce partnera.
Nakupujte infiltrátory
23. prosince 2020 byla společnost Ledger společností Shopify informována o incidentu, kdy „neoprávnění členové jejich týmu podpory získali protokoly transakcí zákazníků, včetně záznamů společnosti Ledger v období od dubna do června 2020“.
Až do 21. prosince 2020 však Shopify „nezjistila, že by se na tento útok měl zaměřit také Ledger“. Shopify řekl společnosti Ledger, že pokračuje ve vyšetřování a že problém byl nahlášen donucovacím orgánům. Ve spolupráci se soudní společností Orange Cyberdefense společnost Ledger prozkoumala ukradené 292.000 13 dat. Společnost uvedla, že informovala zákazníky, že byli zasaženi XNUMX. ledna.
Ledgerova bezpečnost dat po hacknutí
V příspěvku na Twitteru společnost Ledger zopakovala, že společnost nikdy nebude od zákazníků požadovat 24 slov pro obnovení, která lze použít pro přístup k bitcoinům a kryptoměnám. Rovněž poukázali na to, že dokud zákazníci tato slova nesdílí, jejich hardwarová zařízení Ledger jsou v bezpečí.
Podle Johnsona se Ledger snaží jít nad rámec soukromí vyžadovaného obecným nařízením EU o ochraně údajů. Ledger vymaže data ze svého e-commerce partnera a přesune zákaznická data do databáze, která není přístupná z internetu, jakmile je objednávka splněna, než je legálně možné je vymazat.
Společnost také smaže jména, adresy a telefonní čísla z potvrzovacích e-mailů zasílaných zákazníkům, aby tato data nebyla přenášena prostřednictvím poskytovatelů e-mailových služeb třetích stran. Inženýrský tým společnosti Ledger také vyvíjí produkt, který „ochrání finanční prostředky uživatele, i když sdílel semeno pro obnovení s útočníkem“.
