- Nieautoryzowany dostęp w Global-e ujawnił nazwiska i dane kontaktowe klientów Ledger.
- Ledger potwierdza, że frazy odzyskiwania środków ani klucze prywatne portfeli nie zostały naruszone.
- Eksperci ds. bezpieczeństwa ostrzegają, że wyciek danych kontaktowych zwiększa ryzyko phishingu i oszustw.
Producent portfeli sprzętowych Ledger mierzy się z nowym wyciekiem danych po nieautoryzowanym dostępie do systemów swojego zewnętrznego operatora płatności, Global-e. Incydent dotyczył danych osobowych klientów, takich jak nazwiska i informacje kontaktowe, które zostały pobrane z infrastruktury chmurowej Global-e. Nie ma żadnych sygnałów, że środki na portfelach, klucze prywatne ani frazy odzyskiwania zostały w jakikolwiek sposób zagrożone.
Global-e powiadomiło poszkodowanych klientów mailowo, informując, że wykryto nietypową aktywność w części środowiska chmurowego i wszczęto dochodzenie. W wiadomości nie ujawniono, ilu klientów Ledger zostało dotkniętych ani kiedy dokładnie doszło do naruszenia. Powiadomienie stało się publiczne po udostępnieniu go przez blockchainowego śledczego ZachXBT na platformie X.
Ledger potwierdził incydent, stwierdzając, że naruszenie miało miejsce całkowicie w systemach Global-e. Firma podała, że Global-e działał jako administrator danych, dlatego to on wysłał powiadomienia do klientów.
Naruszenie przez podmiot zewnętrzny potwierdzone przez Global-e
Global-e poinformowało, że wykryło nieregularną aktywność i szybko wdrożyło środki bezpieczeństwa, by powstrzymać problem. Następnie zaangażowano zewnętrznych specjalistów ds. dochodzeń kryminalistycznych, by szczegółowo przeanalizować incydent.
Analiza potwierdziła nieuprawniony dostęp do ograniczonego zestawu danych osobowych klientów.
W e-mailu Global-e poinformowało klientów: „Zatrudniliśmy niezależnych ekspertów ds. dochodzeń kryminalistycznych, aby przeprowadzili śledztwo w sprawie incydentu.” Dodano, że śledczy potwierdzili, iż „niektóre dane osobowe, w tym nazwisko i informacje kontaktowe, zostały nieuprawnione pozyskane.” W oświadczeniu nie wspomniano o szczegółach płatności ani danych uwierzytelniających.
Ledger później potwierdził te ustalenia. Firma podała, że nieautoryzowany dostęp dotyczył danych zamówień przechowywanych w systemach informatycznych Global-e. Ledger powtórzył, że incydent nie dotknął jego własnej infrastruktury wewnętrznej, urządzeń ani aplikacji.
Reakcja Ledger i zakres bezpieczeństwa
Ledger podkreślił, że jego produkty self-custodial pozostały nietknięte przez incydent.
Firma wyjaśniła, że Global-e nie ma dostępu do fraz odzyskiwania, sald portfeli ani tajemnic aktywów cyfrowych. Ledger poinformował, że jego systemy sprzętowe i programowe działają normalnie.
„To nie było naruszenie platformy, sprzętu ani oprogramowania Ledger” — przekazała firma.
Dodano, że Global-e przetwarzał wyłącznie informacje dotyczące zakupu i zamówień klientów kupujących przez Ledger.com. Kanały społecznościowe Ledger obecnie nie wykazują żadnych aktywnych incydentów bezpieczeństwa.
Firma wyjaśniła także, dlaczego to Global-e kontaktował się bezpośrednio z klientami. Ledger poinformował, że to Global-e zarządzał danymi, które zostały naruszone, więc odpowiadał za powiadomienia o wycieku. Do momentu publikacji żadna z firm nie podała szacunkowej liczby poszkodowanych klientów.
Zobacz także: CTO Ledger ostrzega posiadaczy portfeli po włamaniu na konto NPM
Historyczne naruszenia i trwające zagrożenia
Incydent ten następuje po kilku wcześniejszych wydarzeniach związanych z bezpieczeństwem Ledger. W czerwcu 2020 roku źle skonfigurowane zewnętrzne API ujawniło dane marketingowe i e-commerce. Wyciek ten objął około miliona adresów e-mail oraz szczegółowe dane kontaktowe 9500 klientów.
W 2023 roku atakujący wykorzystali skompromitowaną bibliotekę oprogramowania powiązaną z Ledger. Atak doprowadził do utraty od 484 000 do 600 000 dolarów w kryptowalutach w ciągu pięciu godzin. Dotknięte aplikacje to m.in. SushiSwap, Zapper, MetalSwap i Harvest Finance.
ZachXBT później zasugerował, by klienci używali minimalnych lub alternatywnych danych kontaktowych podczas zakupu portfeli sprzętowych. Takie podejście ma na celu ograniczenie skuteczności phishingu, jeśli bazy danych zostaną ujawnione. Eksperci ds. bezpieczeństwa nadal ostrzegają, że wyciek danych kontaktowych może ułatwiać ataki socjotechniczne nawet bez dostępu do portfeli.
