Компания Ledger объявила, что ее маркетинговая база данных была взломана в прошлом месяце - это привело к утечке миллиона электронных писем и некоторых личных документов. Атака не повлияла на безопасность кошельков.
Согласно статье в блоге Ledger, 14 июля исследователь, участвующий в программе вознаграждений за обнаружение уязвимостей в продуктах компании, сообщил о возможной утечке данных. Компания сразу устранила уязвимость и провела внутреннее расследование. Проникновение в систему безопасности произошло тремя неделями ранее, 25 июня. Сторонний инструмент проник в базу данных маркетинга и электронной коммерции с помощью ключа API.
Атака была направлена только на маркетинговую базу данных, хакеры не могли получить доступ к мнемоническим фразам пользователей или закрытым ключам кошельков. Вся финансовая информация компании также не была затронута.
«Были скомпрометированы исключительно контактные данные и детали заказов. В основном это адреса электронной почты примерно одного миллиона наших клиентов. В ходе расследования мы также смогли установить, что были скомпрометированы имена и фамилии, почтовые адреса, номера телефонов и информация о заказанных продуктах», - заявила компания.
В заявлении для клиентов генеральный директор Ledger Паскаль Готье (Pascal Gauthier) сказал, что компания «крайне сожалеет» об этом инциденте. Он предупредил пользователей, что следует опасаться попыток фишинга:
«Мы очень серьезно относимся к конфиденциальности. Мы обнаружили эту уязвимость благодаря нашей программе вознаграждений за поиск уязвимостей и сразу же устранили ее. Независимо от всего, что мы сделали, чтобы избежать инцидента и исправить ситуацию, мы искренне извиняемся за неудобства, которые это может вам причинить».
Ledger заявила, что французское Управление по защите данных (CNIL) было уведомлено об инциденте 16 июля. Фирма также работает с Orange Cyberdefense (OCD), чтобы отследить возможную продажу базы данных в Интернете. Все пострадавшие пользователи были уведомлены о проблеме сегодня, и расследование продолжается.
Напомним, что в мае хакер выставил на продажу предположительно украденные им данные покупателей трех популярных аппаратных кошельков – Trezor, Ledger и KeepKey. Тогда Ledger выпустила заявление, в котором говорилось, что компания «серьезно относится к этому вопросу и расследует возможные уязвимости».