Компанія з виробництва криптогаманців Ledger зіткнулася з порушенням безпеки даних клієнтів через платіжного процесора Global-e

Гігант апаратних гаманців Ledger зіткнувся з інцидентом витоку даних, цього разу пов’язаним із третім платіжним процесором компанії — Global-e.

Електронне повідомлення, надіслане клієнтам компанією Global-e, було спочатку поділено від псевдонімний детектив блокчейну ZachXBT у мережі X повідомив, що порушення безпеки стосувалося несанкціонованого доступу до персональних даних користувачів Ledger, таких як імена та контактна інформація, із хмарної системи Global-e.

У електронному листі не було розкрито кількість постраждалих клієнтів та не вказано, коли саме стався злом.

У 2020 році Ledger зазнала витоку даних який викрив інформація про 270 000 клієнтів через партнера з електронної комерції Shopify. У 2023 році Ledger був зламано майже на $500 000, що вплинуло на кілька децентралізованих фінансових застосунків.

Компанія Global-e повідомила, що виявила незвичайну активність і оперативно впровадила заходи контролю, одночасно розпочавши розслідування, яке підтвердило несанкціонований доступ.

"Ми залучили незалежних судових експертів для проведення розслідування інциденту, і нам вдалося встановити, що деякі персональні дані, включаючи ім'я та контактну інформацію, були неправомірно доступні," йдеться у електронному листі.

Канали соціальних мереж Ledger не повідомляють про активні інциденти, проте закликають до пильності.

У відповіді на електронний лист для CoinDesk Ledger підкреслив, що витік стався в компанії Global-e, додавши, що платіжний процесор надіслав повідомлення електронною поштою клієнтам, оскільки він є контролером даних.

"Компанія Ledger була поінформована про інцидент у Global-e, партнері з електронної комерції для світових брендів та рітейлерів, включаючи Ledger," повідомили компанія CoinDesk. "Цей інцидент полягав у несанкціонованому доступі до даних замовлень у інформаційних системах Global-e. Частина даних, до яких було отримано доступ у межах цього інциденту, стосувалася клієнтів, які здійснили покупку на Ledger.com, використовуючи Global-e як продавця від імені Merchant of Record.

"Це не було порушенням платформи, апаратних чи програмних систем Ledger, які залишаються безпечними. Для уникнення непорозумінь, оскільки продукт Ledger є самостійним кастодієм, Global-e не має доступу до ваших 24 слів, балансу у блокчейні чи будь-яких секретів, пов’язаних із цифровими активами," йдеться у повідомленні.

Ledger пояснив, що платіжна інформація клієнтів не була залучена до порушення безпеки, і компанія співпрацює з Global-e для зв’язку з постраждалими користувачами з відповідною інформацією. Було додано, що Ledger не був єдиним брендом, який постраждав – неавторизована особа також отримала доступ до хмарної системи Global-e, що містить дані замовлень покупців з кількох інших брендів.

"Ми залишаємося єдиними з індустрією у боротьбі проти хакерів та недобросовісних учасників, які невтомно намагаються викрасти інформацію користувачів у екосистемі та сфері електронної комерції загалом," — заявили в Ledger.

ВИПРАВЛЕНО (5 січня, 12:47 UTC): Зміна відправника електронної пошти на Global-e, раніша версія сюжету стверджувала, що вона була надіслана Ledger. Додається підтвердження та коментар від Ledger.