na kripto
Nakon najvećeg napada u povijesti tvrtke, i nešto više od tjedan dana nakon angažiranja novog Ledgerovog glavnog direktora za informacijsku sigurnost (CISO) Matta Johnsona, tvrtka hardverskog novčanika Ledger najavila je svoje prve korake riješiti problem povrede podataka i osigurati da se napad ne ponovi.
To uključuje rad s tvrtkom Chainalysis za analizu blockchain-a u lovu na hakere s 10 BTC nagrada. citat u stvarnom vremenu) za informacije koje će dovesti do uhićenja hakera i cjelovit pregled podataka koje tvrtka čuva, gdje se čuvaju i koliko dugo se čuvaju.
Ledgerov hak
Ledger je javno otkrio da su neki podaci o kupcima ugroženi u srpnju 2020. Tada je tvrtka procijenila da je hakiranje utjecalo na 9.500 kupaca. U prosincu 2020. deponija podataka "otkrila je milijun e-adresa i 1 272.000 imena, poštanskih adresa i telefonskih brojeva koji pripadaju ljudima koji su naručili Ledgerove uređaje".
Broj pogođenih ljudi bio je mnogo veći od prvotne procjene od 9.500. Sada je Ledger objavio nove informacije o hakiranju, otkrivajući kako su to djelomično zaslužni negativci aktivni u Shopifyu, njegovom tadašnjem partneru za e-trgovinu.
Shopify infiltratori
Shopify je 23. prosinca 2020. Ledgera obavijestio o incidentu u kojem su "neki neovlašteni članovi njihovog tima za podršku dobili zapisnike transakcija kupaca, uključujući Ledger između travnja i lipnja 2020.".
Međutim, do 21. prosinca 2020. Shopify nije "otkrio da je i Ledger bio meta u ovom napadu". Shopify je rekao Ledgeru da nastavlja s istragom i da je problem prijavljen policiji. U suradnji s forenzičkom tvrtkom Orange Cyberdefense, Ledger je pregledao ukradenih 292.000 podataka. Tvrtka je priopćila da je obavijestila kupce da su pogođeni 13. siječnja.
Ledgerova sigurnost podataka nakon hakiranja
U objavi na Twitteru, Ledger je ponovio da tvrtka nikada neće tražiti od kupaca 24 riječi za oporavak koje se mogu koristiti za pristup bitcoinu i kriptovalutama. Također su istaknuli da dok njihovi korisnici nisu podijelili ove riječi, njihovi hardverski uređaji Ledger bili su sigurni.
Prema Johnsonu, Ledger pokušava nadići privatnost koju zahtijeva Opća uredba EU o zaštiti podataka. Ledger će izbrisati podatke svog partnera za e-trgovinu i premjestiti podatke kupaca u bazu podataka kojoj se ne može pristupiti s Interneta čim je narudžba ispunjena, prije nego što je zakonski moguće izbrisati.
Tvrtka će također izbrisati imena, adrese i telefonske brojeve iz e-poruka s potvrdom poslanih kupcima, tako da se ti podaci ne prenose putem nezavisnih davatelja usluga e-trgovine. Ledgerov inženjerski tim također razvija proizvod koji će "zaštititi korisnikova sredstva čak i ako su sjeme za oporavak podijelili s napadačem".
