W skrócie
- Global-e, partner e-commerce Ledger, doświadczył nieautoryzowanego dostępu do systemów danych zamówień, co wpłynęło na niektórych klientów Ledger.com.
- W wyniku naruszenia bezpieczeństwa nie zostały naruszone żadne aktywa kryptowalutowe, frazy bezpieczeństwa, salda blockchain ani informacje płatnicze.
- Ledger zatrudnił niezależnych ekspertów kryminalistycznych do zbadania incydentu na platformie zewnętrznej.
Producent portfeli kryptowalutowych Ledger potwierdził, że jego partner e-commerce Global-e padł ofiarą naruszenia danych, ale zapewnił użytkowników, że ich własne portfele sprzętowe i programowe pozostają bezpieczne.
Ledger z siedzibą w Paryżu od 12 lat produkuje i sprzedaje portfele kryptowalutowe. Firma sprzedała ponad 7,5 miliona urządzeń i szacuje, że jej sprzęt i oprogramowanie służą do przechowywania około 20% światowych aktywów kryptowalutowych.
„Ten incydent polegał na nieautoryzowanym dostępie do danych zamówień w systemach informatycznych Global-e. Część danych uzyskanych w wyniku tego incydentu dotyczyła klientów, którzy dokonali zakupu na Ledger.com korzystając z Global-e jako sprzedawcy,” powiedział rzecznik Ledger w
Global-e to globalna platforma e-commerce i płatności, która pomaga markom sprzedawać swoje produkty na całym świecie. Siedziba firmy znajduje się w Izraelu, a jej akcje są notowane na Nasdaq pod symbolem GLBE. Z usług Global-e korzystają setki innych sprzedawców detalicznych, w tym Victoria’s Secret, Adidas, Alo Yoga i Marc Jacobs.
W oświadczeniu dodano, że ponieważ produkty Ledger są samodzielnie przechowywane, Global-e nie ma dostępu do informacji klientów, takich jak 24-wyrazowe frazy bezpieczeństwa, salda kryptowalut czy jakiekolwiek inne prywatne dane związane z aktywami cyfrowymi. „Co ważne, żadne informacje płatnicze nie były zaangażowane,” dodała firma.
Ledger poinformował również w oświadczeniu przesłanym swoim użytkownikom, że zatrudnił „niezależnych ekspertów kryminalistycznych do przeprowadzenia śledztwa w sprawie tego incydentu.”
To najnowszy z serii incydentów związanych z bezpieczeństwem, dotyczących systemów zewnętrznych powiązanych z Ledger i jego urządzeniami, w tym portfelami sprzętowymi Stax oraz Nano.
W grudniu 2023 roku firma poinformowała o nieautoryzowanym dostępie i złośliwym kodzie w swoim Ledger connect Kit. Firma ostrzegła wówczas klientów, aby „przestali korzystać z dapps”, i wyjaśniła, że do wykorzystania luki doszło, ponieważ były pracownik padł ofiarą phishingu.
