på krypto
I kølvandet på det største angreb i virksomhedens historie og lidt over en uge efter ansættelsen af Ledgers nye Chief Information Security Officer (CISO) Matt Johnson, annoncerede hardwarepungefirmaet Ledger sine første skridt til at adressere databrud og sikre, at angrebet ikke sker igen.
Disse inkluderer arbejde med blockchain analytics firma Chainalysis for at jage hackere med en 10 BTC-belønning. citat i realtid) for de oplysninger, der vil føre til arrestationen af hackeren og en komplet gennemgang af, hvilke oplysninger virksomheden opbevarer, hvor den opbevares, og hvor længe den opbevares.
Ledger's hack
Ledger afslørede offentligt, at nogle kundeoplysninger var kompromitteret i juli 2020. På det tidspunkt anslog virksomheden, at 9.500 kunder var blevet påvirket af hacket. I december 2020 eksponerede en datadump "1 million e-mail-adresser og 272.000 navne, postadresser og telefonnumre, der tilhører folk, der havde bestilt Ledgers enheder."
Antallet af berørte mennesker var meget højere end det oprindelige skøn på 9.500. Nu har Ledger frigivet nye oplysninger om hacket og afsløret, at det sandsynligvis delvis skyldtes skurke, der var aktive på Shopify, dets e-handelspartner på det tidspunkt.
Shopify infiltratorer
Den 23. december 2020 blev Ledger informeret af Shopify om en hændelse, hvor "uautoriserede medlemmer af deres supportteam opnåede kundetransaktionslogfiler, inklusive Ledger mellem april og juni 2020".
Indtil den 21. december 2020 havde Shopify imidlertid ikke "fundet, at Ledger også var målrettet mod dette angreb." Shopify fortalte Ledger, at det fortsætter med at undersøge, og at problemet er blevet rapporteret til politiet. I samarbejde med det retsmedicinske firma Orange Cyberdefense undersøgte Ledger de stjålne 292.000 data. Virksomheden sagde, at det informerede kunder om, at de blev ramt den 13. januar.
Ledgers datasikkerhed efter hacket
I et Twitter-indlæg gentog Ledger, at virksomheden aldrig vil bede kunderne om de 24 genoprettelsesord, der kan bruges til at få adgang til bitcoin og kryptokurver. De påpegede også, at indtil kunder delte disse ord, var deres Ledger-hardwareenheder sikre.
Ifølge Johnson forsøger Ledger at gå ud over det privatliv, der kræves i Den Europæiske Unions generelle databeskyttelsesforordning. Ledger sletter data fra sin e-handelspartner og flytter kundedata til en database, der ikke kan tilgås fra Internettet, så snart ordren er gennemført, før det er juridisk muligt at slette dem.
Virksomheden sletter også navne, adresser og telefonnumre fra bekræftelses-e-mails sendt til kunder, så disse data ikke overføres via tredjeparts e-handels-udbydere. Ledgers ingeniørteam udvikler også et produkt, der "vil beskytte en brugers midler, selvom de delte genopretningsfrøet med en angriber."
