Истинный масштаб утечки данных Ledger оказался больше, чем сообщалось ранее

Производитель аппаратных кошельков Ledger добавил еще 20 000 клиентов в список жертв утечки данных, вместе с чем их общее число выросло до 292 000. Сегодня компания опубликовала детальный отчет о произошедшем, включая меры, которые она принимает для недопущения подобных ситуаций в дальнейшем.

По утверждению Ledger, утечка происходила с апреля по июнь 2020 года и была вызвана действиями злонамеренных сотрудников онлайн-магазина Shopify, который компания использовала для распространения своих кошельков. Злоумышленники использовали доступ к API магазина для кражи данных клиентов Shopify, в том числе покупателей аппаратных кошельков.

14 июля 2020 года Ledger получила уведомление об утечке миллиона адресов электронных почт и 10 000 записей персональных данных, включая почтовые адреса, имена и номера телефонов. В последующие месяцы клиенты Ledger сообщали о получении фишинговых писем и угроз, причем ряд из них утверждает, что никогда не пользовались Shopify. Также известно о нескольких атаках с подменой SIM-карт с целью кражи криптовалютных активов у их владельцев.

Тем не менее, вплоть до декабря 2020 года компания не знала, что утечке подверглись записи 272 000 клиентов. В ходе расследования выяснилось, что атака была еще крупнее, чем предполагалось на тот момент. Shopify утверждает, что это та же самая утечка, о которой он сообщал в сентябре 2020 года, однако в самом магазине до декабря не знали, что в числе жертв были клиенты Ledger.

В Ledger заявили, что работают с правоохранительными органами и аналитическими компаниями в сфере блокчейна, включая Chainalysis, над поиском злоумышленника, и организовали фонд на 10 биткоинов в качестве вознаграждения «за информацию, которая приведет к успешному аресту и обвинению». Компания сообщила, что 13 января связалась с вновь обнаруженными жертвами атаки.

Ledger подчеркивает, что никогда не попросит клиентов раскрыть фразу для восстановления доступа к кошельку из 24 слов. Если клиент хранит ее в тайне, его аппаратному кошельку ничего не угрожает, говорится в публикации. В скором времени появится новый продукт, который предоставит клиентам дополнительную защиту в случае, если они раскроют фразу для восстановления доступа злоумышленнику.

Кроме того, Ledger обновит методы работы с персональными данными и будет стараться «полностью удалять» их в кратчайшие сроки, а также побуждать к этому своих партнеров. Она заявляет, что будет удалять клиентскую информацию, даже если Общий регламент по защите данных (GDPR) позволяет хранить ее более длительный срок.