på krypto
I efterdyningarna av den största attacken i företagets historia, och drygt en vecka efter anställningen av Ledgers nya Chief Information Officer (CISO) Matt Johnson, meddelade hårdvaruplånboksföretaget Ledger sina första steg för att ta itu med dataintrånget och se till att attacken inte sker igen.
Dessa inkluderar att arbeta med blockchain-analysföretaget Chainalysis för att jaga hackare, med en 10 BTC-bounty. offert i realtid) för information som kommer att leda till att hackaren arresteras och en fullständig granskning av vilken information företaget lagrar, var den lagras och hur länge den hålls.
Ledger's hack
Ledger avslöjade offentligt att viss kundinformation hade äventyrats i juli 2020. Vid den tidpunkten uppskattade företaget att 9.500 2020 kunder hade påverkats av hacket. I december 1 exponerade en datadump 272.000 miljon e-postadresser och XNUMX XNUMX namn, postadresser och telefonnummer som tillhör personer som hade beställt Ledger-enheter.
Antalet personer som drabbades var mycket högre än den ursprungliga uppskattningen av 9.500 XNUMX. Nu har Ledger släppt ny information om hacket och avslöjat att det troligtvis berodde på skurkar som var aktiva på Shopify, dess e-handelspartner vid den tiden.
Shopify infiltratorer
Den 23 december 2020 informerades Ledger av Shopify om en incident där "några obehöriga medlemmar i deras supportteam fick kundtransaktionsloggar, inklusive Ledger's mellan april och juni 2020".
Fram till den 21 december 2020 hade Shopify dock inte "funnit att Ledger också var inriktat på detta angrepp." Shopify berättade för Ledger att det fortsätter att utreda och att problemet har rapporterats till brottsbekämpning. I samarbete med det rättsmedicinska företaget Orange Cyberdefense undersökte Ledger de stulna 292.000 13 uppgifterna. Företaget sa att det informerade kunderna att de drabbades den XNUMX januari.
Ledgers datasäkerhet efter hacket
I ett Twitter-inlägg upprepade Ledger att företaget aldrig kommer att be kunderna om de 24 återställningsorden som kan användas för att komma åt bitcoin och kryptovalutor. De påpekade också att tills kunder delade dessa ord var deras Ledger-hårdvaruenheter säkra.
Enligt Johnson försöker Ledger gå utöver den integritet som krävs av Europeiska unionens allmänna dataskyddsförordning. Ledger kommer att radera data från sin e-handelspartner och flytta kunddata till en databas som inte går att komma åt från Internet så snart beställningen är fullbordad, innan det är lagligt möjligt att radera den.
Företaget kommer också att radera namn, adresser och telefonnummer från bekräftelsemeddelanden som skickas till kunder så att denna information inte överförs via tredjepartsleverantörer av e-handel. Ledgers ingenjörsteam utvecklar också en produkt som "skyddar användarens medel även om de delade återhämtningsfröet med en angripare."
