Compartir este artículo
¿Por qué Ledger conservó todos esos datos de clientes en primer lugar?
La publicación del domingo de correos electrónicos y direcciones de clientes sirve como un recordatorio aleccionador de que incluso un Maker de billeteras de Cripto de hardware puede convertirse en una trampa de datos.
Por Marc Hochstein
Primero, las buenas noticias, por así decirlo: los clientes de Ledger ahora pueden ver de primera mano si su información personal quedó expuesta en el ataque.Descubierto en julio.
CONTINÚA MÁS ABAJO
No te pierdas otra historia.Suscríbete al boletín de Crypto Daybook Americas hoy. Ver todos los boletines
Alguien publicó las listas completas de un millón de direcciones de correo electrónico y 272.000 nombres, direcciones postales y números de teléfono de clientes del Maker francés de monederos físicos de Criptomonedas . Esta última lista es mucho mayor que la cifra revelada previamente por Ledger.9.500).
Al preguntársele sobre la discrepancia, un portavoz de Ledger dijo: "En el momento del incidente, los registros de una aplicación de terceros que administraba nuestra base de datos mostraban que 9.500 personas se vieron afectadas. Simultáneamente, estábamos trabajando con una organización de seguridad externa para realizar una revisión forense, que también confirmó 9.500 personas".correo electrónico enviado a los clientesMás tarde el lunes, Ledger declaró que los detalles de la lista de 272.000 "no están disponibles en los registros que pudimos analizar". Los clientes cuya información figuraba en esa lista recibirán una notificación por correo electrónico en un plazo de 24 horas, según informó la compañía.
"Es un eufemismo enorme decir que lamentamos sinceramente esta situación. Nos tomamos la Privacidad muy en serio", dijo Ledger en un Tormenta de tuits el domingoEvitar situaciones como esta es una prioridad absoluta para toda nuestra empresa, y hemos aprendido valiosas lecciones de esta situación. Entre otras medidas, Ledger ha contratado a un nuevo director de seguridad de la información y ha desmantelado 170 sitios de phishing desde la filtración, según informó.
Hay al menos tres sitios para compartir archivos, que recuerdan la época dorada de los blogs de MP3, donde se pueden descargar las dos listas. No publicaré los enlaces, pero los encontré en tan solo unos minutos buscando en Twitter.
Si descargas el tesoro, revisa tus datos y luego bórralo. Si KEEP el archivo, te quedas boquiabierto con los nombres o hablas con tus amigos al respecto, bueno, Estaré muy decepcionado.
Varias de las direcciones de correo electrónico detectadas en la filtración de datos coinciden con aquellas que recibieron correos electrónicos de phishing de estafadores que buscaban defraudar a los lectores de CoinDesk .
Como informamos en julioEstos estafadores copiaban Newsletters legítimos de CoinDesk , agregaban algunos párrafos y enlaces fraudulentos sobre un sorteo de Cripto y los enviaban a personas que nunca se habían registrado para recibir correos electrónicos de CoinDesk .
Casa CTO Jameson Loppsugerido en noviembreque los clientes de Ledger podrían haber sido el objetivo; la filtración de datos del domingo respalda esa teoría.
Sigue leyendo: Un ataque de phishing convincente se dirige a los usuarios de la billetera de hardware Ledger.
Panorama más amplio
La mala noticia: Vale, no es noticia, pero la filtración de datos del domingo sirve como un recordatorio aleccionador de que incluso un Maker de monederos electrónicos de Cripto puede convertirse en una trampa de datos confidenciales. (Uso el término "trampa" en el sentido de "un objetivo valioso para los hackers", no "Un sitio señuelo para atraparlos.")
What’s really bothersome about the @Ledger leak is that they had no reason to keep the information in the first place.
— HackAlert (@HackAlertIO) December 20, 2020
They only needed shipping address and they only needed to keep they information for less than 30 days to make sure shipments were delivered
La razón se debe en parte a los imperativos de marketing de una startup y en parte a los requisitos legales y regulatorios.
En unPreguntas frecuentesEn un artículo publicado en julio, la compañía afirmó que un atacante había accedido a parte de su base de datos de marketing a través de una clave API de terceros que había sido mal configurada en el sitio web de Ledger.
En cuanto se descubrió la brecha, la clave se desactivó, afirmó Ledger. Pero no a tiempo para evitar que los malhechores accedieran a las listas y, al parecer, las vendieran a...artistas del phishing.
¿Por qué un tercero tendría una clave API?Preguntas frecuentesContinúa explicando:
Los equipos de comercio electrónico y marketing de Ledger utilizan una solución de terceros (Iterable) para enviar y analizar correos electrónicos transaccionales y de marketing a los clientes que han comprado productos en ledger.com o se han registrado para recibir nuestros Newsletters . De acuerdo con nuestra Regulación de Privacidad , como controlador de datos, podemos transmitir algunos de sus datos a terceros, como proveedores de servicios de pago (PSP), infraestructura, logística y otros proveedores de servicios, dentro de los marcos contractuales y legales aplicables.
Eso cubre los correos electrónicos. ¿Qué pasa con todas esas direcciones postales, nombres y números de teléfono? ¿Por qué no los eliminamos después de enviar la mercancía? Volviendo a...Preguntas frecuentes:
Por razones legales, estamos obligados a almacenar cierta información transaccional relacionada con los datos de contacto de nuestros clientes y los datos de sus pedidos.
De acuerdo con el principio de limitación de almacenamiento FORTH en las leyes aplicables, nos esforzamos por retener los datos durante no más tiempo que el necesario para cumplir con dichos fines legítimos y legales, incluido el cumplimiento de cualquier requisito de informes legales, contables, fiscales o de otro tipo.
Podremos archivar algunos de sus datos personales, con acceso restringido, durante un período de tiempo adicional cuando sea estrictamente necesario para cumplir con nuestras obligaciones legales y/o reglamentarias de archivo y durante los períodos de prescripción aplicables.
Al finalizar este periodo adicional, sus datos personales restantes se eliminarán permanentemente o se anonimizarán de nuestros sistemas. Si nos adquirió un producto o servicio, podremos conservar algunos datos transaccionales asociados a sus Datos de Contacto para cumplir con nuestras obligaciones legales, fiscales o contables durante un plazo máximo de 10 años, según lo FORTH por la legislación francesa aplicable, así como para poder ejercer nuestros derechos (por ejemplo, para presentar nuestras reclamaciones ante los tribunales) durante los plazos de prescripción aplicables en Francia.
También necesitamos conservar algunos de sus datos personales contenidos en esta base de datos, para poder responder a sus preguntas, procesar posibles reclamos y conservar evidencia para la investigación criminal.
En otras palabras, a veces las empresas tienen las manos atadas y tienen que aferrarse a laresiduos tóxicos Estos son datos de clientes incluso si no lo desean.
No se desanime; hay formas de mitigar el riesgo de exposición incluso al pedir productos físicos, como señaló Meltem Demirors, directora de estrategia de CoinShares.en Twitter:
might be wise to plan ahead and:
— Meltem Demir◎rs (@Melt_Dem) December 21, 2020
- email: use trashmail / yopmail to generate new random email addresses for every site
- phone: use an app generate fake #s or get a second phone to manage 2FA
- mail: get a PO box or mail forwarding service https://t.co/Ku25oz5b2R
Sigue leyendo: Seamos regañadores de la Privacidad
ACTUALIZACIÓN (21 de diciembre, 16:45 UTC):Se agregó una declaración del portavoz de Ledger.
ACTUALIZACIÓN (21 de diciembre, 18:40 UTC):Se agregó una cita del correo electrónico de Ledger a los clientes.
Nota: Las opiniones expresadas en esta columna son las del autor y no necesariamente reflejan las de CoinDesk, Inc. o sus propietarios y afiliados.
Más para ti
Lo que debes saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Más para ti
El emisor de USDC, Circle, obtiene la licencia ADGM de Abu Dhabi en su expansión en Oriente Medio
La licencia permite a Circle expandir las herramientas de pago y liquidación de USDC en los Emiratos Árabes Unidos.
Lo que debes saber:
- Circle ha obtenido una licencia de Permiso de Servicios Financieros del Abu Dhabi Global Market, lo que le permite operar como Proveedor de Servicios Monetarios en los EAU.
- El emisor de stablecoins ha nombrado a la Dra. Saeeda Jaffar, exgerente en la empresa de pagos Visa.
- La aprobación se produce en el marco del auge de los Emiratos Árabes Unidos como un centro global para activos digitales regulados, tras la concesión de licencias similares a Binance.
Historias Destacadas
