База данных Биткойн-кошелька Ledger взломана

В июне производитель аппаратного кошелька Ledger подвергся атаке, в результате которой из базы данных были похищены один миллион электронных писем клиентов и документы электронной коммерции. При этом средства самих пользователей остались нетронутыми.

Представители Ledger утверждают, что атака была направлена только на базу данных маркетинга и электронной коммерции и хакеры не смогли получить доступ к пользовательским фразам восстановления аккаунта или закрытым ключам. Вся финансовая информация о платежах клиентов, их пароли и активы не были затронуты.

Кроме того, по утверждению специалистов компании, эта проблема не была связана с аппаратными кошельками Ledger или приложением безопасности Ledger Live.

В официальном заявлении компании отмечается:

  Были задействованы исключительно контактные данные и детали заказа. В основном это адреса электронной почты примерно 1 млн. наших клиентов. В ходе расследования мы также смогли установить конкретные данные, которые удалось похитить злоумышленникам: имя и фамилия, почтовый адрес, номер телефона и заказанный продукт (ы).

Исследователь, участвующий в баунти-программе поиска дефектов в приложении Ledger, первоначально обнаружил проблему 14 июля. Тогда компания исправила найденный баг, но немногим позже обнаружила, что проблема с безопасностью возникла неделями ранее - 25 июня. Причина: сторонний инструмент, использующий доступ к базе данных электронной коммерции посредством (теперь отключенного) ключа API.

Генеральный директор Ledger Паскаль Готье сообщил клиентам, что его компания «крайне сожалеет» об этом инциденте. Помимо этого, он предупредил пользователей об опасности фишинга:

   Мы очень серьезно относимся к конфиденциальности и обнаружили эту уязвимость благодаря нашей собственной программе баунти-багов, после чего сразу же исправили ее. Но независимо от всех наших действий по устранению и недопущению в будущем таких ситуаций, мы искренне извиняемся перед нашими клиентами за доставленные неудобства.

В тоже время представитель, Ledger сообщил о том, что французское управление по защите данных (CNIL) было поставлено в известность о данном инциденте 16 июля. Компания также сотрудничает с Orange Cyberdefense (OCD), чтобы найти какие-то доказательства того, что украденные данные продаются в Интернете. Все пострадавшие пользователи были уведомлены о найденной уязвимости и продолжении расследования.

Юрий Коваленко – Аналитик ActivTrades PLC

Ежедневный Анализ и Торговые Сигналы!