Криптовалютная компания Ledger столкнулась с утечкой данных клиентов через платёжного процессора Global-e

Крупнейший производитель аппаратных кошельков Ledger столкнулся с инцидентом раскрытия данных, на этот раз связанным с его сторонним платежным процессором Global-e.

Электронное письмо-уведомление, отправленное клиентам компанией Global-e и изначально поделился псевдонимный блокчейн-исследователь ZachXBT в X заявил, что нарушение безопасности связано с несанкционированным доступом к личным данным пользователей Ledger, таким как имена и контактная информация, из облачной системы Global-e.

В электронном письме не раскрывалось количество пострадавших клиентов и не указывались сроки осуществления уязвимости.

В 2020 году компания Ledger столкнулась с нарушением безопасности данных который раскрыл информация о 270 000 клиентах через партнёра по электронной коммерции Shopify. В 2023 году Ledger был взломан почти на $500 000, затронув несколько приложений децентрализованных финансов.

Global-e заявила о выявлении необычной активности и оперативно внедрила меры контроля, одновременно начав расследование, которое подтвердило несанкционированный доступ.

"Мы привлекли независимых судебных экспертов для проведения расследования инцидента и смогли установить, что некоторые персональные данные, включая имя и контактную информацию, были неправомерно получены," говорится в письме.

Социальные сети Ledger не показывают активных инцидентов, призывая при этом к бдительности.

В ответном письме для CoinDesk компания Ledger подчеркнула, что нарушение произошло в Global-e, добавив, что именно платежный процессор направил уведомление по электронной почте клиентам, поскольку он является контролёром данных.

Ledger был проинформирован о инциденте в Global-e, партнере по электронной коммерции для мировых брендов и ритейлеров, включая Ledger," сообщила компания в интервью CoinDesk. "Этот инцидент заключался в несанкционированном доступе к данным заказов в информационных системах Global-e. Часть данных, к которым был получен доступ в рамках этого инцидента, касалась клиентов, совершивших покупку на Ledger.com с использованием Global-e в качестве торгового посредника.

"Это не было нарушением платформы, аппаратных или программных систем Ledger, которые остаются защищёнными. Для устранения любых сомнений, поскольку продукт Ledger является самостоятельным хранилищем (self-custodial), компания Global-e не имеет доступа к вашим 24 словам, балансу в блокчейне или каким-либо секретам, связанным с цифровыми активами," — говорится в сообщении.

Ledger пояснила, что платежная информация клиентов не была затронута в результате утечки, и компания работает с Global-e, чтобы связаться с пострадавшими пользователями и предоставить им соответствующую информацию. Также было отмечено, что Ledger не является единственным брендом, пострадавшим от инцидента – неавторизованное лицо также получило доступ к облачной системе Global-e, содержащей данные заказов покупателей нескольких других брендов.

"Мы остаемся едины с индустрией в борьбе против хакеров и злоумышленников, которые неустанно пытаются похитить информацию пользователей в экосистеме и в сфере электронной коммерции в целом," — заявила компания Ledger.

ИСПРАВЛЕНИЕ (5 января, 12:47 UTC): Изменяет отправителя электронного письма на Global-e, в более ранней версии истории указывалось, что оно было отправлено Ledger. Добавляет подтверждение от Ledger и комментарий.