La société de portefeuilles cryptographiques Ledger fait face à une violation des données client via le processeur de paiement Global-e

Le géant des portefeuilles matériels Ledger fait face à un incident de fuite de données, cette fois lié à son processeur de paiement tiers, Global-e.

Une notification par e-mail envoyée aux clients par Global-e et initialement partagé par Le détective pseudonyme de la blockchain ZachXBT sur X a déclaré que la violation impliquait un accès non autorisé aux informations personnelles des utilisateurs de Ledger, telles que les noms et les coordonnées, provenant du système cloud de Global-e.

L'e-mail n'a pas révélé le nombre de clients concernés ni précisé la date à laquelle l'exploitation s'est produite.

En 2020, Ledger a subi une violation de données qui a révélé informations de 270 000 clients via le partenaire e-commerce Shopify. En 2023, Ledger a été piraté pour près de 500 000 dollars, affectant plusieurs applications de finance décentralisée.

Global-e a déclaré avoir détecté une activité inhabituelle et avoir rapidement mis en place des contrôles tout en lançant une enquête, qui a confirmé l'accès non autorisé.

"Nous avons fait appel à des experts en criminalistique indépendants pour mener une enquête sur l'incident et nous avons pu déterminer que certaines données personnelles, y compris le nom et les informations de contact, ont été consultées de manière inappropriée," indiquait le courriel.

Les réseaux sociaux de Ledger ne signalent aucun incident actif, tout en appelant à la vigilance.

Dans une réponse par email à CoinDesk, Ledger a souligné que la violation s’est produite chez Global-e, ajoutant que le processeur de paiement a envoyé la notification par email aux clients car il est le responsable du traitement des données.

"Ledger a été informé d’un incident chez Global-e, un partenaire e-commerce pour des marques et détaillants mondiaux, y compris Ledger," a déclaré la société à CoinDesk. "Cet incident consistait en un accès non autorisé aux données de commande dans les systèmes d’informations de Global-e. Certaines des données consultées dans le cadre de cet incident concernaient des clients ayant effectué un achat sur Ledger.com en utilisant Global-e en tant que commerçant enregistré.

"Il ne s'agissait pas d'une violation de la plateforme, du matériel ou des systèmes logiciels de Ledger, qui restent sécurisés. Pour éviter toute ambiguïté, étant donné que le produit Ledger est en auto-garde, Global-e n'a pas accès à vos 24 mots, à votre solde blockchain, ni à aucun secret lié aux actifs numériques," a-t-il déclaré. "

Ledger a expliqué que les informations de paiement des clients n'ont pas été compromises lors de cette faille et collabore avec Global-e pour contacter les utilisateurs concernés avec des informations pertinentes. La société a ajouté que Ledger n’était pas la seule marque affectée – une partie non autorisée a également accédé à un système cloud de Global-e contenant les données de commande de plusieurs autres marques.

"Nous restons unis avec l'industrie dans la lutte contre les hackers et les acteurs malveillants qui s'efforcent sans relâche de voler les informations des utilisateurs dans l'écosystème et le secteur du commerce électronique au sens large," a déclaré Ledger.

CORRECTIF (5 janv., 12h47 UTC) : Modifie l’expéditeur de l’e-mail en Global-e, une version antérieure de l’article indiquait qu’il avait été envoyé par Ledger. Ajoute la confirmation et le commentaire de Ledger.