บน crypto
หลังจากการโจมตีครั้งใหญ่ที่สุดในประวัติศาสตร์ของ บริษัท และเพียงหนึ่งสัปดาห์หลังจากการว่าจ้างหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) คนใหม่ของ Ledger Matt Johnson บริษัท กระเป๋าเงินฮาร์ดแวร์ Ledger ได้ประกาศก้าวแรกในการ จัดการกับการละเมิดข้อมูลและตรวจสอบให้แน่ใจว่าการโจมตีจะไม่เกิดขึ้นอีก
ซึ่งรวมถึงการทำงานร่วมกับ Chainalysis บริษัท วิเคราะห์บล็อกเชนเพื่อตามล่าแฮกเกอร์ด้วยเงินรางวัล 10 BTC การอ้าง ตามเวลาจริง) สำหรับข้อมูลที่จะนำไปสู่การจับกุมของแฮ็กเกอร์และการตรวจสอบโดยละเอียดว่าข้อมูลใดที่ บริษัท เก็บรักษาข้อมูลนั้นจัดเก็บไว้ที่ใดและเก็บไว้นานเท่าใด
แฮ็คของ Ledger
Ledger เปิดเผยต่อสาธารณะว่าข้อมูลของลูกค้าบางส่วนถูกบุกรุกในเดือนกรกฎาคม 2020 ในขณะนั้น บริษัท คาดว่าลูกค้า 9.500 รายได้รับผลกระทบจากการแฮ็ก ในเดือนธันวาคมปี 2020 การถ่ายโอนข้อมูล "เปิดเผยที่อยู่อีเมล 1 ล้านรายการและชื่อ 272.000 ชื่อที่อยู่ไปรษณีย์และหมายเลขโทรศัพท์ที่เป็นของผู้ที่สั่งซื้ออุปกรณ์ของ Ledger"
จำนวนผู้ได้รับผลกระทบสูงกว่าประมาณการเดิมที่ 9.500 ราย ตอนนี้ Ledger ได้เปิดเผยข้อมูลใหม่เกี่ยวกับการแฮ็กโดยเปิดเผยว่าส่วนหนึ่งเป็นเพราะคนร้ายที่ใช้งาน Shopify ซึ่งเป็นพันธมิตรอีคอมเมิร์ซในเวลานั้น
Shopify infiltrators
เมื่อวันที่ 23 ธันวาคม 2020 Ledger ได้รับแจ้งจาก Shopify ถึงเหตุการณ์ที่ "สมาชิกที่ไม่ได้รับอนุญาตในทีมสนับสนุนของพวกเขาได้รับบันทึกธุรกรรมของลูกค้ารวมถึง Ledger ระหว่างเดือนเมษายนถึงมิถุนายน 2020"
อย่างไรก็ตามจนถึงวันที่ 21 ธันวาคม 2020 Shopify ไม่ "พบว่า Ledger ตกเป็นเป้าหมายในการโจมตีนี้ด้วย" Shopify บอกกับ Ledger ว่ากำลังดำเนินการตรวจสอบอย่างต่อเนื่องและได้รายงานปัญหาไปยังหน่วยงานบังคับใช้กฎหมายแล้ว ด้วยความร่วมมือกับ Orange Cyberdefense บริษัท นิติวิทยาศาสตร์ Ledger ได้ตรวจสอบข้อมูล 292.000 ที่ถูกขโมย บริษัท กล่าวว่าได้แจ้งให้ลูกค้าทราบว่าพวกเขาถูกโจมตีเมื่อวันที่ 13 มกราคม
ความปลอดภัยของข้อมูลของบัญชีแยกประเภทหลังจากการแฮ็ก
ในโพสต์ Twitter Ledger ย้ำว่า บริษัท จะไม่ขอคำกู้ 24 คำจากลูกค้าที่สามารถใช้เพื่อเข้าถึง bitcoin และ cryptocurrencies พวกเขายังชี้ให้เห็นว่าจนกว่าลูกค้าจะแชร์คำเหล่านี้อุปกรณ์ฮาร์ดแวร์บัญชีแยกประเภทของพวกเขาจะปลอดภัย
ตามที่ Johnson ระบุว่า Ledger ต้องการที่จะก้าวไปไกลกว่าความเป็นส่วนตัวที่กำหนดโดยกฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป บัญชีแยกประเภทจะลบข้อมูลจากพันธมิตรอีคอมเมิร์ซและย้ายข้อมูลลูกค้าไปยังฐานข้อมูลที่ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตทันทีที่มีการดำเนินการตามคำสั่งซื้อก่อนที่จะลบได้ตามกฎหมาย
นอกจากนี้ บริษัท จะลบชื่อที่อยู่และหมายเลขโทรศัพท์ออกจากอีเมลยืนยันที่ส่งถึงลูกค้าเพื่อไม่ให้ข้อมูลนี้ถูกส่งผ่านผู้ให้บริการอีเมลอีคอมเมิร์ซบุคคลที่สาม ทีมวิศวกรของ Ledger กำลังพัฒนาผลิตภัณฑ์ที่ "จะปกป้องเงินของผู้ใช้แม้ว่าพวกเขาจะแชร์เมล็ดพันธุ์การกู้คืนกับผู้โจมตีก็ตาม"
