em criptografia
No rescaldo do maior ataque da história da empresa, e pouco mais de uma semana após a contratação do novo Diretor de Segurança da Informação (CISO) de Ledger, Matt Johnson, a empresa de carteira de hardware Ledger anunciou seus primeiros passos para abordar a violação de dados e garantir que o ataque não ocorra novamente.
Isso inclui trabalhar com a empresa de análise de blockchain Chainalysis para caçar hackers, com uma recompensa de 10 BTC. citação em tempo real) para as informações que levarão à prisão do hacker e uma revisão completa de quais informações a empresa mantém, onde estão armazenadas e por quanto tempo são mantidas.
Hack de Ledger
Ledger revelou publicamente que algumas informações do cliente foram comprometidas em julho de 2020. Na época, a empresa estimou que 9.500 clientes haviam sido afetados pelo hack. Em dezembro de 2020, um despejo de dados "expôs 1 milhão de endereços de e-mail e 272.000 nomes, endereços postais e números de telefone pertencentes a pessoas que encomendaram dispositivos Ledger."
O número de pessoas afetadas foi muito maior do que a estimativa original de 9.500. Agora, Ledger divulgou novas informações sobre o hack, revelando que provavelmente se devia, em parte, a bandidos ativos no Shopify, seu parceiro de comércio eletrônico na época.
Infiltradores do Shopify
Em 23 de dezembro de 2020, Ledger foi informado pelo Shopify de um incidente em que "alguns membros não autorizados de sua equipe de suporte obtiveram registros de transações do cliente, incluindo Ledger entre abril e junho de 2020".
Até 21 de dezembro de 2020, no entanto, o Shopify não havia "descoberto que Ledger também era o alvo desse ataque". O Shopify disse a Ledger que continua investigando e que o problema foi relatado à polícia. Em colaboração com a empresa forense Orange Cyberdefense, Ledger examinou os 292.000 dados roubados. A empresa informou que informou aos clientes que eles foram atingidos em 13 de janeiro.
Segurança de dados de Ledger após o hack
Em uma postagem no Twitter, Ledger reiterou que a empresa nunca pedirá aos clientes as 24 palavras de recuperação que podem ser usadas para acessar bitcoins e criptomoedas. Eles também apontaram que, até que os clientes compartilhassem essas palavras, seus dispositivos de hardware Ledger estavam seguros.
De acordo com Johnson, Ledger está procurando ir além da privacidade exigida pelo Regulamento Geral de Proteção de Dados da União Europeia. O Ledger excluirá dados de seu parceiro de e-commerce e moverá os dados do cliente para um banco de dados que não pode ser acessado da Internet assim que o pedido for atendido, antes que seja legalmente possível excluí-lo.
A empresa também excluirá nomes, endereços e números de telefone dos e-mails de confirmação enviados aos clientes, para que esses dados não sejam transmitidos por meio de provedores terceirizados de e-commerce. A equipe de engenharia de Ledger também está desenvolvendo um produto que "protegerá os fundos de um usuário, mesmo que ele compartilhe a semente de recuperação com um invasor".
