en la criptografía
A raíz del ataque más grande en la historia de la compañía, y poco más de una semana después de la contratación del nuevo Director de Seguridad de la Información (CISO) de Ledger, Matt Johnson, la empresa de carteras de hardware Ledger anunció sus primeros pasos para abordar la violación de datos y asegurarse de que el ataque no vuelva a ocurrir
Estos incluyen trabajar con la firma de análisis de blockchain Chainalysis para cazar piratas informáticos, con una recompensa de 10 BTC. precio en tiempo real) para obtener la información que conducirá al arresto del pirata informático y una revisión completa de qué información guarda la empresa, dónde se almacena y durante cuánto tiempo se conserva.
Hack de Ledger
Ledger reveló públicamente que parte de la información de los clientes se vio comprometida en julio de 2020. En ese momento, la compañía estimó que 9.500 clientes se habían visto afectados por el ataque. En diciembre de 2020, un volcado de datos "expuso 1 millón de direcciones de correo electrónico y 272.000 nombres, direcciones postales y números de teléfono pertenecientes a personas que habían pedido los dispositivos de Ledger".
El número de personas afectadas fue mucho mayor que la estimación original de 9.500. Ahora, Ledger ha publicado nueva información sobre el hack, revelando que probablemente se debió, en parte, a los malos activos en Shopify, su socio de comercio electrónico en ese momento.
Shopify infiltrados
El 23 de diciembre de 2020, Shopify informó a Ledger de un incidente en el que "algunos miembros no autorizados de su equipo de soporte obtuvieron registros de transacciones de los clientes, incluido Ledger entre abril y junio de 2020".
Hasta el 21 de diciembre de 2020, sin embargo, Shopify no había "descubierto que Ledger también fuera el objetivo de este ataque". Shopify le dijo a Ledger que continúa investigando y que el problema había sido informado a la policía. En colaboración con la firma forense Orange Cyberdefense, Ledger examinó los 292.000 datos robados. La compañía dijo que informó a los clientes que fueron atacados el 13 de enero.
Seguridad de los datos de Ledger después del hack
En una publicación de Twitter, Ledger reiteró que la compañía nunca pedirá a los clientes las 24 palabras de recuperación que se pueden usar para acceder a bitcoins y criptomonedas. También señalaron que hasta que los clientes compartieran estas palabras, sus dispositivos de hardware Ledger estaban seguros.
Según Johnson, Ledger busca ir más allá de la privacidad requerida por el Reglamento General de Protección de Datos de la Unión Europea. Ledger eliminará los datos de su socio de comercio electrónico y moverá los datos del cliente a una base de datos a la que no se puede acceder desde Internet tan pronto como se complete el pedido, antes de que sea legalmente posible eliminarlo.
La empresa también eliminará los nombres, direcciones y números de teléfono de los correos electrónicos de confirmación enviados a los clientes para que estos datos no se transmitan a través de proveedores de correo electrónico de comercio electrónico de terceros. El equipo de ingeniería de Ledger también está desarrollando un producto que "protegerá los fondos de un usuario incluso si comparten la semilla de recuperación con un atacante".
