sa crypto
Kasunod ng pinakamalaking pag-atake sa kasaysayan ng kumpanya, at mahigit isang linggo lamang matapos ang pagkuha ng bagong Chief Information Security Officer (CISO) na Ledger na si Matt Johnson, inihayag ng kumpanya ng hardware wallet na Ledger ang mga unang hakbang nito na tugunan ang paglabag sa data at tiyaking hindi na mauulit ang pag-atake.
Kasama rito ang pagtatrabaho sa blockchain analytics firm Chainalysis upang manghuli ng mga hacker, na may 10 BTC na biyaya. sipi sa real time) para sa impormasyon na hahantong sa pag-aresto sa hacker at isang kumpletong pagsusuri ng kung anong impormasyon ang itinatago ng kumpanya, kung saan ito nakaimbak at kung gaano katagal ito gaganapin.
Pag-hack ni Ledger
Inihayag ng publiko sa Ledger na ang ilang impormasyon sa customer ay nakompromiso noong Hulyo 2020. Sa oras na iyon, tinatantiya ng kumpanya na 9.500 mga customer ang naapektuhan ng pag-hack. Noong Disyembre 2020, isang data dump na "nakalantad ang 1 milyong mga email address at 272.000 mga pangalan, mga postal address at numero ng telepono na pag-aari ng mga taong nag-order ng mga aparato ni Ledger."
Ang bilang ng mga taong naapektuhan ay mas mataas kaysa sa orihinal na tinatayang 9.500. Ngayon, naglabas ang Ledger ng bagong impormasyon tungkol sa pag-hack, na isiniwalat na malamang na dahil ito, sa bahagi, sa mga masasamang taong aktibo sa Shopify, kasosyo sa e-commerce nito noong panahong iyon.
Mamili ng mga infiltrator
Noong Disyembre 23, 2020, ang Ledger ay nabatid ng Shopify tungkol sa isang insidente kung saan "ang ilang mga hindi pinahintulutang miyembro ng kanilang koponan ng suporta ay nakakuha ng mga tala ng transaksyon sa customer, kasama na ang Ledger sa pagitan ng Abril at Hunyo 2020".
Gayunpaman, hanggang Disyembre 21, 2020, ang Shopify ay hindi "natagpuan na ang Ledger ay naka-target din sa pag-atake na ito." Sinabi ng Shopify kay Ledger na patuloy ito sa pag-iimbestiga at na ang problema ay naiulat sa mga nagpapatupad ng batas. Sa pakikipagtulungan ng forensic firm na Orange Cyberdefense, sinuri ni Ledger ang ninakaw na 292.000 data. Sinabi ng kumpanya na ipinaalam sa mga customer na sila ay na-hit noong Enero 13.
Seguridad ng data ng Ledger pagkatapos ng pag-hack
Sa isang post sa Twitter, inulit ni Ledger na hindi kailanman hihilingin ng kumpanya ang mga customer para sa 24 na mga salita sa pagbawi na maaaring magamit upang ma-access ang bitcoin at cryptocurrency. Itinuro din nila na hanggang sa maibahagi ng mga customer ang mga salitang ito, ligtas ang kanilang mga Ledger hardware device.
Ayon kay Johnson, sinusubukan ng Ledger na lampasan ang privacy na hinihiling ng General Data Protection Protection ng European Union. Tatanggalin ng Ledger ang data mula sa kasosyo sa e-commerce at ililipat ang data ng customer sa isang database na hindi ma-access mula sa Internet sa sandaling natupad ang order, bago ito posible nang ligal na tanggalin ito.
Tatanggalin din ng kumpanya ang mga pangalan, address at numero ng telepono mula sa mga email ng kumpirmasyon na ipinadala sa mga customer upang ang data na ito ay hindi maipadala sa pamamagitan ng mga third party na email provider ng e-commerce. Ang koponan sa engineering ni Ledger ay nagkakaroon din ng isang produkto na "mapoprotektahan ang mga pondo ng isang gumagamit kahit na ibinahagi nila ang binhi ng pagbawi sa isang umaatake."
