na krypto
W następstwie największego ataku w historii firmy, nieco ponad tydzień po zatrudnieniu Matta Johnsona, nowego dyrektora ds. nie powtórzy się.
Obejmują one współpracę z firmą analityczną Blockchain Chainalysis w celu polowania na hakerów, z nagrodą w wysokości 10 BTC (tutaj cytat w czasie rzeczywistym) w celu uzyskania informacji, które doprowadzą do aresztowania hakera oraz kompleksowego przeglądu tego, jakie informacje firma przechowuje, gdzie są one przechowywane i jak długo są przechowywane.
Hack Ledgera
Ledger publicznie ujawnił, że niektóre informacje o klientach zostały naruszone w lipcu 2020 r. Firma oszacowała wówczas, że włamanie dotknęło 9.500 klientów. W grudniu 2020 r. zrzut danych „ujawnił 1 milion adresów e-mail i 272.000 XNUMX nazwisk, adresów pocztowych i numerów telefonów należących do osób, które zamówiły urządzenia Ledgera”.
Liczba dotkniętych osób była znacznie wyższa niż pierwotne szacunki 9.500. Teraz Ledger opublikował nowe informacje na temat włamania, ujawniając, że prawdopodobnie było to częściowo spowodowane złymi aktorami działającymi w Shopify, jego ówczesnym partnerze e-commerce.
Infiltratorzy Shopify
23 grudnia 2020 r. firma Ledger została powiadomiona przez Shopify o incydencie, w wyniku którego „nieupoważnieni członkowie ich zespołu wsparcia uzyskali dzienniki transakcji klientów, w tym dzienniki Ledgera, w okresie od kwietnia do czerwca 2020 r.”.
Jednak do 21 grudnia 2020 r. Shopify „nie odkrył, że celem tego ataku był również Ledger”. Shopify powiedział Ledgerowi, że kontynuuje dochodzenie i że problem został zgłoszony organom ścigania. We współpracy z firmą Orange Cyberdefense zajmującą się kryminalistyką, Ledger zbadał 292.000 13 skradzionych danych. Firma poinformowała, że powiadomiła klientów, którzy zostali dotknięci XNUMX stycznia.
Bezpieczeństwo danych Ledgera po włamaniu
W poście na Twitterze Ledger powtórzył, że firma nigdy nie poprosi klientów o podanie 24 słów resetowania, których można użyć do uzyskania dostępu do bitcoinów i kryptowalut. Wskazali również, że dopóki klienci nie podzielą się tymi słowami, ich urządzenia sprzętowe Ledger są bezpieczne.
Według Johnsona Ledger stara się wyjść poza prywatność wymaganą przez ogólne rozporządzenie Unii Europejskiej o ochronie danych. Ledger usunie dane ze swojego partnera handlu elektronicznego i przeniesie dane klientów do bazy danych, do której nie można uzyskać dostępu z Internetu, gdy tylko zamówienie zostanie zrealizowane, zanim ich usunięcie będzie prawnie możliwe.
Firma usunie również nazwiska, adresy i numery telefonów z e-maili potwierdzających wysyłanych do klientów, aby dane te nie były przesyłane przez zewnętrznych dostawców poczty e-commerce. Zespół inżynierów Ledgera opracowuje również produkt, który „będzie chronił fundusze użytkownika, nawet jeśli podzielił się on z atakującym ziarnem odzyskiwania”.
