Empresa de carteiras de criptomoedas Ledger enfrenta violação de dados de clientes por meio do processador de pagamentos Global-e

O gigante de carteiras de hardware Ledger está enfrentando um incidente de exposição de dados, desta vez relacionado ao seu processador de pagamentos terceirizado, Global-e.

Uma notificação por e-mail enviada aos clientes pela Global-e e inicialmente compartilhado por o investigador pseudônimo de blockchain ZachXBT no X afirmou que a violação envolveu acesso não autorizado a dados pessoais dos usuários da Ledger, como nomes e informações de contato, provenientes do sistema em nuvem da Global-e.

O e-mail não revelou o número de clientes afetados nem especificou quando a exploração ocorreu.

Em 2020, a Ledger sofreu uma violação de dados que expôs informações de 270.000 clientes por meio do parceiro de comércio eletrônico Shopify. Em 2023, a Ledger foi invadido por quase $500.000, afetando várias aplicações de finanças descentralizadas.

A Global-e afirmou ter detectado uma atividade incomum e implementado controles rapidamente enquanto iniciava uma investigação, a qual confirmou o acesso indevido.

"Contratamos especialistas forenses independentes para conduzir uma investigação sobre o incidente e conseguimos determinar que alguns dados pessoais, incluindo nome e informações de contato, foram acessados de forma indevida," afirmou o e-mail.

Os canais de mídia social da Ledger não apresentam incidentes ativos, mas recomendam vigilância.

Em uma resposta por e-mail à CoinDesk, a Ledger enfatizou que a violação ocorreu na Global-e, acrescentando que o processador de pagamentos enviou a notificação por e-mail aos clientes porque é o controlador dos dados.

"A Ledger foi informada sobre um incidente na Global-e, uma parceira de comércio eletrônico para marcas e varejistas globais, incluindo a Ledger," disse a empresa ao CoinDesk. "Este incidente consistiu em acesso não autorizado a dados de pedidos nos sistemas de informação da Global-e. Parte dos dados acessados como parte deste incidente dizia respeito a clientes que efetuaram compras no Ledger.com utilizando a Global-e como Comerciante Registrado.

"Isto não foi uma violação da plataforma, hardware ou sistemas de software da Ledger, que permanecem seguros. Para evitar dúvidas, como o produto Ledger é de custódia própria, a Global-e não tem acesso às suas 24 palavras, saldo na blockchain ou quaisquer segredos relacionados a ativos digitais," afirmou. "

A Ledger explicou que as informações de pagamento dos clientes não foram envolvidas na violação e está trabalhando com a Global-e para contatar os usuários afetados com informações relevantes. Acrescentou que a Ledger não foi a única marca afetada – uma parte não autorizada também acessou um sistema em nuvem da Global-e que armazenava dados de pedidos de consumidores de várias outras marcas.

"Permanecemos unidos com a indústria na guerra contra hackers e agentes mal-intencionados que incansavelmente tentam roubar informações dos usuários no ecossistema e no espaço do comércio eletrônico em geral," disse a Ledger.

CORREÇÃO (5 de jan., 12h47 UTC): Altera o remetente do e-mail para Global-e, uma versão anterior da matéria indicava que havia sido enviado pela Ledger. Adiciona confirmação e comentário da Ledger.