Crypto wallet bedrijf Ledger krijgt te maken met een datalek van klantgegevens via betalingsverwerker Global-e

Hardware wallet-gigant Ledger worstelt met een datalekincident, deze keer gekoppeld aan zijn externe betalingsverwerker, Global-e.

Een e-mailmelding verzonden naar klanten door Global-e en aanvankelijk gedeeld door De pseudonieme blockchain-onderzoeker ZachXBT meldde op X dat de inbreuk betrekking had op ongeautoriseerde toegang tot persoonlijke gegevens van Ledger-gebruikers, zoals namen en contactinformatie, vanuit het cloud-systeem van Global-e.

De e-mail vermeldde niet het aantal getroffen cliënten en specificeerde ook niet wanneer de exploitatie heeft plaatsgevonden.

In 2020 heeft Ledger een datalek ervaren dat onthulde informatie van 270.000 klanten via e-commercepartner Shopify. In 2023 was Ledger gehackt voor bijna $500.000, wat verschillende gedecentraliseerde financiële toepassingen beïnvloedt.

Global-e meldde dat het ongebruikelijke activiteiten had gedetecteerd en snel controles had geïmplementeerd terwijl een onderzoek werd gestart, dat de ongeoorloofde toegang bevestigde.

"Wij hebben onafhankelijke forensische experts ingeschakeld om een onderzoek naar het incident uit te voeren en we konden vaststellen dat sommige persoonlijke gegevens, waaronder naam en contactinformatie, onrechtmatig waren benaderd," stond in de e-mail.

De sociale mediakanalen van Ledger tonen geen actieve incidenten, maar dringen toch aan op waakzaamheid.

In een e-mailreactie aan CoinDesk benadrukte Ledger dat de inbreuk plaatsvond bij Global-e, en voegde eraan toe dat de betalingsverwerker de e-mailmelding naar klanten heeft gestuurd omdat het de verwerkingsverantwoordelijke is.

"Ledger werd op de hoogte gebracht van een incident bij Global-e, een e-commercepartner voor wereldwijde merken en detailhandelaren, waaronder Ledger," vertelde het bedrijf aan CoinDesk. "Dit incident betrof ongeautoriseerde toegang tot ordergegevens in de informatiesystemen van Global-e. Een deel van de gegevens die tijdens dit incident werden benaderd, had betrekking op klanten die een aankoop deden op Ledger.com met Global-e als Merchant of Record.

"Dit was geen inbreuk op het platform, de hardware of de software van Ledger, die veilig blijven. Voor de duidelijkheid, aangezien het Ledger-product self-custodial is, heeft Global-e geen toegang tot uw 24 woorden, blockchain-saldo, of enige geheimen met betrekking tot digitale activa," aldus het bericht.

Ledger lichtte toe dat de betalingsgegevens van klanten niet betrokken waren bij de inbreuk en werkt samen met Global-e om getroffen gebruikers te benaderen met relevante informatie. Daarnaast gaf het aan dat Ledger niet het enige getroffen merk was – een onbevoegde partij kreeg ook toegang tot een Global-e cloud-systeem met bestelgegevens van consumenten van meerdere andere merken.

"Wij blijven verenigd met de industrie in de strijd tegen hackers en kwaadwillenden die onvermoeibaar proberen de informatie van gebruikers in het ecosysteem en de e-commercemarkt in brede zin te stelen," aldus Ledger.

CORRECTIE (5 jan., 12:47 UTC): Wijzigt de afzender van de e-mail in Global-e, een eerdere versie van het artikel meldde dat deze door Ledger was verstuurd. Voegt bevestiging en commentaar van Ledger toe.