Ledger sta lavorando ad un nuovo sistema di sicurezza dopo l’hack

All’indomani del più grande attacco nella storia dell’azienda, e poco più di una settimana dopo l’assunzione del nuovo Chief Information Security Officer (CISO) di Ledger Matt Johnson, la società di portafogli hardware Ledger ha annunciato le sue prime misure per affrontare la violazione dei dati e garantire che tale attacco non si ripeta.

Queste includono il lavoro con la società di analisi blockchain Chainalysis per dare la caccia agli hacker, con una taglia di 10 BTC (qui la quotazione in tempo reale) per le informazioni che porteranno all’arresto dell’hacker e una revisione completa di quali informazioni la società conserva, dove sono archiviate e per quanto tempo sono trattenute.

L’hack di Ledger

Ledger ha rivelato pubblicamente che alcune informazioni dei clienti erano state compromesse nel luglio 2020. All’epoca, la società stimava che 9.500 clienti fossero stati colpiti dall’hacking. Nel dicembre 2020, un dump di dati “ha esposto 1 milione di indirizzi e-mail e 272.000 nomi, indirizzi postali e numeri di telefono appartenenti a persone che avevano ordinato i dispositivi di Ledger”.

Il numero di persone colpite era molto più alto della stima originale di 9.500. Ora, Ledger ha rilasciato nuove informazioni sull’hacking, rivelando che era probabilmente dovuto, in parte, a malintenzionati attivi su Shopify, il suo partner di e-commerce dell’epoca.

Gli infiltrati di Shopify

Il 23 dicembre 2020, Ledger è stato informato da Shopify di un incidente per cui “alcuni membri non autorizzati del loro team di supporto hanno ottenuto i registri delle transazioni dei clienti, inclusi quelli di Ledger tra aprile e giugno 2020”.

Fino al 21 dicembre 2020, tuttavia, Shopify non aveva “scoperto che anche Ledger era stato preso di mira in questo attacco”. Shopify ha detto a Ledger che sta continuando a indagare e che il problema era stato segnalato alle forze dell’ordine. In collaborazione con la società forense Orange Cyberdefense, Ledger ha esaminato i 292.000 dati rubati. La società ha detto di aver informato i clienti che sono stati colpiti il ​​13 gennaio.

La sicurezza dei dati di Ledger dopo l’hack

In un post su Twitter, Ledger ha ribadito che la società non chiederà mai ai clienti le 24 parole di ripristino che possono essere utilizzate per accedere a bitcoin e criptovalute. Hanno anche sottolineato che finché i clienti non hanno condiviso queste parole, i loro dispositivi hardware Ledger erano al sicuro.

Secondo Johnson, Ledger sta cercando di andare oltre la privacy richiesta dal Regolamento Generale sulla Protezione dei Dati dell’Unione europea. Ledger eliminerà i dati dal suo partner di e-commerce e sposterà i dati dei clienti in un database a cui non è possibile accedere da Internet non appena l’ordine viene evaso, prima che sia legalmente possibile eliminarlo.

La società eliminerà anche nomi, indirizzi e numeri di telefono dalle e-mail di conferma inviate ai clienti in modo che questi dati non vengano trasmessi tramite provider di posta elettronica di e-commerce di terze parti. Il team di ingegneri di Ledger sta inoltre sviluppando un prodotto che “proteggerà i fondi di un utente anche se avesse condiviso il seme di ripristino con un aggressore”.