Jeżeli dostaliście mail od Ledger to z pewnością wiecie, że z bazy firmy wyciekło ok. milion adresów mailowych. Producent jednego z najbardziej znanych portfeli kryptowalut zapewnia, że środki użytkowników są bezpieczne. Poznajcie szczegóły sprawy.
Wyciek z Ledger | Co się stało?
Producent portfeli kryptowalutowych Ledger rozesłał w ostatnich dniach maile do użytkowników swoich urządzeń z informacją, że 17 czerwca br. z bazy danych firmy wyciekło milion adresów mailowych. W komunikacie na stronie supportu Ledger czytamy:
„Chodzi o dane kontaktowe i szczegóły zamówienia. Jest to głównie adres e-mail naszych klientów, około 1 mln adresów. Po zbadaniu sytuacji byliśmy również w stanie ustalić, że w przypadku podzbioru 9500 klientów doszło do wycieku również takich danych, jak imię i nazwisko, adres pocztowy, numer telefonu lub informacje o zamówionych produktach”.
„Środki pozostają bezpieczne”
Zgodnie z komunikatem firmy Ledger, wyciek danych nie ma wpływu na bezpieczeństwo kryptowalut przechowywanych na urządzeniach producenta. Wyciek dotyczył wyłącznie danych z bazy klientów.
This data breach has no link and no impact whatsoever with our hardware wallets nor Ledger Live security and your crypto assets, which are safe and have never been in peril.
— Ledger (@Ledger) July 29, 2020
Przedstawiciele Ledger stwierdzili, że klucz API strony trzeciej hostowany na ich stronie internetowej został błędnie skonfigurowany:
„Problem z błędną konfiguracją klucza API istnieje od 9 sierpnia 2018 r. Na podstawie posiadanych przez nas informacji uważamy, że został wykryty i wykorzystany pomiędzy kwietniem 2020 a 28 czerwca 2020 r.”
Problem został już rozwiązany. Niektórzy zastanawiają się, w jakim celu Ledger przechowuje tak długo adresy domowe, numery telefonów lub jakiekolwiek inne dane swoich klientów.
Najprawdopodobniej chodzi o tych z nich, którzy właśnie zamówili i czekali na produkt. Mogą to być również dane klientów, które Ledger przechowywał przez kilka miesięcy na wypadek reklamacji ewentualnego zwrotu pieniędzy za zakup i tym podobnych.
Po co komuś maile do klientów Ledger?
Benoit Pellevoizin, wiceprezes ds. Marketingu w Ledger powiedział:
„Zasadniczo za pomocą pozyskanych adresów można kierować do naszych klientów fałszywe e-maile w imieniu formy i prosić o seed phrase portfela, aby uzyskać dostęp do monet… ale my nigdy o to nie prosimy”
Ledger wysłał już e-maile do klientów, których dotyczy problem. Planują też wysłać e-maile do 9500 osób, których dane osobowe zostały skradzione. Pellevoizin dodał, że Ledger nie planuje reparacji ani żadnej formy rekompensaty poszkodowanym użytkownikom, podczas gdy dochodzenie z udziałem francuskich organów ścigania pozostaje w toku.
Ledger „podejmuje kroki w celu spełnienia wymagań certyfikacji ISO 27001”, międzynarodowej struktury zarządzania systemami zarządzania bezpieczeństwem informacji. Ten certyfikat bezpieczeństwa i solidność zabezpieczeń, które ma zapewniać, „są kluczem” do ochrony danych przed takimi naruszeniami, jak to, które właśnie miało miejsce – powiedział Pellevoizin.
Konkurencja nie śpi, czyli – co na to Trezor?
Konkurencyjny producent portfeli sprzętowych – Trezor poinformował swoich obserwatorów na Twitterze, że często czyści swoje systemy ze wszystkich danych zamówień klientów, w tym adresów e-mail – dokładnie co 90 dni.
Trezor dodał również do swojego tweeta kupon oferujący 10% zniżki w swoim sklepie, a kod to „DATAPRIVACY”. W komentarzach zawrzało od oskarżeń o bezczelność i nieetyczną formę promocji produktu. Kod już nie działa.
Fact of the day:
— Trezor (@Trezor) July 29, 2020
After 90 days, we get rid of all sensitive data about your order in our e-shop database (even e-mail addresses).
Word of the day:
“DATAPRIVACY” – use this promo code for a 10% discount in our shop.
Limited to 9500 people and 48 hours
🔒https://t.co/P9EUSFFiid🔒
Pomimo ogłoszenia ludzie pytali, czy skasowaniu ulegają również „kopie zapasowe baz danych”. W poszukiwaniu odpowiedzi Trezor odesłał ludzi do lektury artykułu na swoim blogu. Pokusiłem się o powyższe, aczkolwiek nie znalazłem tam satysfakcjonującej odpowiedzi. Przynajmniej jak dla mnie – „to minimalizuje ryzyko potencjalnych wycieków” – pozostaje zbyt lakoniczne.
Co Wy sądzicie na ten temat?