Ledger раскрыл истинные масштабы утечки данных покупателей аппаратных криптокошельков

детальный отчет о произошедшем, включая меры, которые она принимает для недопущения подобных ситуаций в дальнейшем. По утверждению Ledger, утечка происходила с апреля по июнь 2020 года и была вызвана действиями злонамеренных сотрудников онлайн-магазина Shopify, который компания использовала для распространения своих кошельков. Злоумышленники использовали доступ к API магазина для кражи данных клиентов Shopify, в том числе покупателей аппаратных кошельков. 14 июля 2020 года Ledger получила уведомление об утечке миллиона адресов электронных почт и 10 000 записей персональных данных, включая почтовые адреса, имена и номера телефонов. В последующие месяцы клиенты Ledger сообщали о получении фишинговых писем и угроз, причем ряд из них утверждает, что никогда не пользовались Shopify. Также известно о нескольких атаках с подменой SIM-карт с целью кражи криптовалютных активов у их владельцев. Тем не менее, вплоть до декабря 2020 года компания не знала, что утечке подверглись записи 272 000 клиентов. В ходе расследования выяснилось, что атака была еще крупнее, чем предполагалось на тот момент. Shopify утверждает, что это та же самая утечка, о которой он сообщал в сентябре 2020 года, однако в самом магазине до декабря не знали, что в числе жертв были клиенты Ledger. В Ledger заявили, что работают с правоохранительными органами и аналитическими компаниями в сфере блокчейна, включая Chainalysis, над поиском злоумышленника, и организовали фонд на 10 биткоинов в качестве вознаграждения «за информацию, которая приведет к успешному аресту и обвинению». Компания сообщила, что 13 января связалась с вновь обнаруженными жертвами атаки. Ledger подчеркивает, что никогда не попросит клиентов раскрыть фразу для восстановления доступа к кошельку из 24 слов. Если клиент хранит ее в тайне, его аппаратному кошельку ничего не угрожает, говорится в публикации. В скором времени появится новый продукт, который предоставит клиентам дополнительную защиту в случае, если они раскроют фразу для восстановления доступа злоумышленнику. «Мы признаем эту проблему и скоро представим техническое решение, которое устранит 24 слова в качестве единственной опоры безопасности наших аппаратных кошельков и также откроет двери для страхования средств», – пояснили в компании. Кроме того, Ledger обновит методы работы с персональными данными и будет стараться «полностью удалять» их в кратчайшие сроки, а также побуждать к этому своих партнеров. Она заявляет, что будет удалять клиентскую информацию, даже если Общий регламент по защите данных (GDPR) позволяет хранить ее более длительный срок. «Тем не менее, некоторые данные нам придется хранить для исполнения правовых обязательств, включая учет и налоги. Эти данные будут дополнительно отделены с целью ограничения доступа», – пишет Ledger.