a kriptográfia
A vállalat történetének legnagyobb támadása következtében, és alig több mint egy héttel a Ledger új információbiztonsági vezérigazgatójának (CISO), Matt Johnsonnak a felvétele után, a Ledger hardveres pénztárca társaság bejelentette első lépéseit orvosolja az adatsértést és gondoskodjon arról, hogy a támadás ne ismétlődjön meg.
Ezek közé tartozik a Chainalysis blokklánc-elemző céggel való együttműködés a hackerek levadászására, 10 BTC-jutalommal. idézet valós időben) azokért az információkért, amelyek a hacker letartóztatásához vezetnek, és annak teljes áttekintéséhez, hogy a vállalat milyen információkat őriz, hol tárolja és mennyi ideig tárolja.
Ledger hack
A Ledger nyilvánosan elárulta, hogy bizonyos ügyfélinformációkat 2020 júliusában veszélyeztettek. Akkor a vállalat becslése szerint 9.500 ügyfelet érintett a feltörés. 2020 decemberében egy adattár "1 millió e-mail címet és 272.000 XNUMX nevet, postacímet és telefonszámot tárt fel azoknak az embereknek, akik Ledger eszközöket rendeltek".
Az érintettek száma jóval magasabb volt, mint az eredeti becslés 9.500 volt. Most a Ledger új információkat tett közzé a feltörésről, feltárva, hogy ez valószínűleg részben annak a rosszfiúknak köszönhető, akik akkoriban a Shopify-on voltak aktívak.
Shopify behatolók
23. december 2020-án a Shopify értesítette a Ledgert egy olyan eseményről, amikor "támogatási csapatuk illetéktelen tagjai vevői tranzakciós naplókat szereztek be, beleértve a Ledger-t is 2020 áprilisa és júniusa között".
21. december 2020-ig azonban a Shopify nem "találta meg, hogy Ledgert is megcélozták ebben a támadásban". Shopify elmondta a Ledgernek, hogy folytatja a nyomozást, és a problémáról jelentést tettek a bűnüldöző szerveknek. Az Orange Cyberdefense törvényszéki céggel együttműködve Ledger megvizsgálta az ellopott 292.000 13 adatot. A cég közölte, hogy arról tájékoztatta az ügyfeleket, hogy január XNUMX-án sújtották őket.
A főkönyv adatbiztonsága a feltörés után
A Twitter egy Twitter-bejegyzésében megismételte, hogy a vállalat soha nem fogja kérni az ügyfelektől azt a 24 helyreállítási szót, amelyek felhasználhatók a bitcoin és a kriptopénzek eléréséhez. Arra is rámutattak, hogy amíg az ügyfelek nem osztották meg ezeket a szavakat, addig a Ledger hardvereszközeik biztonságban voltak.
Johnson szerint a Ledger megpróbál túllépni az Európai Unió általános adatvédelmi rendeletében előírt magánéleten. A Ledger törli az adatokat e-kereskedelmi partnereitől, és az ügyfelek adatait az internetről nem elérhető adatbázisba helyezi, amint a megrendelés teljesül, mielőtt törvényesen lehetséges lenne törölni azokat.
A vállalat az ügyfeleknek küldött visszaigazoló e-mailekből törli a neveket, címeket és telefonszámokat is, hogy ezeket az adatokat ne továbbítsák harmadik fél e-kereskedelmi e-mail szolgáltatóin keresztül. A Ledger mérnökcsapata olyan terméket is fejleszt, amely "megvédi a felhasználó pénzeszközeit, még akkor is, ha megosztják a helyreállítási magot egy támadóval".
