på krypto
I etterkant av det største angrepet i selskapets historie, og litt over en uke etter ansettelsen av Ledgers nye Chief Information Security Officer (CISO) Matt Johnson, kunngjorde maskinvarepungeselskapet Ledger sine første skritt for å adressere datainnbruddet og sørg for at angrepet ikke skjer igjen.
Disse inkluderer å jobbe med blockchain analytics firma Chainalysis for å jakte på hackere, med en 10 BTC-belønning. sitat i sanntid) for informasjonen som vil føre til at hackeren blir arrestert og en fullstendig gjennomgang av hvilken informasjon selskapet oppbevarer, hvor den lagres og hvor lenge den holdes.
Ledger's hack
Ledger avslørte offentlig at noe kundeinformasjon hadde blitt kompromittert i juli 2020. På det tidspunktet anslår selskapet at 9.500 2020 kunder hadde blitt berørt av hacket. I desember 1 avslørte en datadump "272.000 million e-postadresser og XNUMX XNUMX navn, postadresser og telefonnumre som tilhører personer som hadde bestilt Ledger-enheter."
Antall personer som ble rammet var mye høyere enn det opprinnelige estimatet på 9.500. Nå har Ledger gitt ut ny informasjon om hacket, og avslører at det sannsynligvis delvis skyldtes gutta som var aktive på Shopify, dets e-handelspartner på den tiden.
Shopify infiltratorer
23. desember 2020 ble Ledger informert av Shopify om en hendelse der "uautoriserte medlemmer av deres supportteam innhentet kundetransaksjonslogger, inkludert Ledger's mellom april og juni 2020".
Inntil 21. desember 2020 hadde Shopify imidlertid ikke "funnet at Ledger også var målrettet i dette angrepet." Shopify fortalte Ledger at det fortsetter å undersøke, og at problemet har blitt rapportert til politiet. I samarbeid med det rettsmedisinske firmaet Orange Cyberdefense, undersøkte Ledger de stjålne 292.000 13 dataene. Selskapet sa at det informerte kundene om at de ble truffet XNUMX. januar.
Ledgers datasikkerhet etter hacket
I et Twitter-innlegg gjentok Ledger at selskapet aldri vil be kundene om de 24 gjenopprettingsordene som kan brukes til å få tilgang til bitcoin og kryptokurver. De påpekte også at inntil kundene delte disse ordene, var Ledger-maskinvareenhetene trygge.
Ifølge Johnson prøver Ledger å gå utover personvernet som kreves av EUs generelle databeskyttelsesforordning. Ledger vil slette data fra sin e-handelspartner og flytte kundedata til en database som ikke er tilgjengelig fra Internett så snart bestillingen er oppfylt, før det er lovlig mulig å slette det.
Selskapet vil også slette navn, adresser og telefonnumre fra e-postbekreftelser som sendes til kunder, slik at disse dataene ikke videreformidles via tredjepartsleverandører av e-handel. Ledgers ingeniørteam utvikler også et produkt som "vil beskytte brukerens midler selv om de delte gjenopprettingsfrøet med en angriper."
