13 Ocak 2021 · 2 min read

Ledger, Müşteri Veri Sızıntısı Yayılırken Fon Sigortası Vaat Ediyor

Fransa merkezli büyük kripto donanım cüzdanı üreticisi Ledger, Shopify hackerların 2020 yılının Nisan ve Haziran aylarında Ledger müşterilerinin kişisel bilgilerini ele geçirdiğini doğruladı.

Kaynak: Adobe/Mingis

Şirket, "Adli soruşturma firması Orange Cyberdefense ile birlikte, bunun yaklaşık 292.000 müşteriyi etkilediğini tespit edebildik. Veri tabanı, önceki saldırıya maruz kalanlara %93 benzer olsa da, e-posta, ad, posta adresi, ürün(ler) ve telefon numarası da bu ihlale dahil olmak üzere yaklaşık 20.000 yeni müşteri kaydı vardı" diyerek, Haziran 2020 sonundan sonra bir Ledger ürünü satın aldıysanız veya ürününüzü Ledger.com dışında satın aldıysanız, verilerinizin bu olaylarda açığa çıkmadığını da sözlerine ekledi.

Şirket, Orange Cyberdefense ile incelemeyi tamamladıktan sonra 13 Ocak'ta “23 Aralık 2020'de e-ticaret hizmeti sağlayıcımız Shopify'dan, destek ekibinin sahte üyelerinin Ledger’inkiler de dahil olmak üzere müşteri işlem kayıtlarını elde ettiği satıcı verilerini içeren bir olayla ilgili bir bildirim aldık” dedi.

Şirkete göre Shopify, bunun Eylül 2020'de bildirilen ve 200'den fazla traderı ilgilendiren olayla ilgili olduğunu iddia ediyor, ancak Shopify 21 Aralık 2020'ye kadar bu saldırıda Ledger'ın da hedef alındığını meydana çıkarmamıştı.

Geçen yılın Mayıs ayında Ledger, veritabanlarının Shopify istismarı yoluyla tehlikeye düştüğü iddialarını reddetti. O zamanlar "Bu iddianın doğru olduğuna dair herhangi bir kanıt bulamadık" dediler.

 

Bu arada şirket bugün, "yakında donanım cüzdanlarının güvenliğinin tek direği olan 24 kelimeyi kaldıracak ve bireysel müşteriler için fon sigortası kapısını açacak bir teknik çözüm sunacaklarını" söyledi.

Bu arada, "24 KELİMELİK SEED İFADENİZİ KİMSEYLE ASLA PAYLAŞMAYIN" çağrısı yaptılar. 

Ayrıca şirket, 26 Aralık'ta Fransız Veri Koruma Kurumu'na haber verdiklerini söyledi.

"Davayla ilgili olarak Shopify ve savcılarla çalışmaya devam ediyoruz; FBI ve RCMP liderliğindeki bir soruşturma halihazırda devam ediyor. Ledger ayrıca olayları Fransız Savcılığına bildirdi ve haydut ajanlara karşı şikayette bulundu" diyerek ek özel soruşturma kapasitesi aldıklarını da eklediler. 

Ayrıca şirket, saldırganların kovuşturulmasına yardımcı olacak yeni bilgiler için başlangıçta 10 BTC (346.173 dolar) ödül rezervi duyurdu.

Sonraki adımlara gelince, Ledger "GDPR ilkelerinin ötesine geçmek için bu verileri işleme şekillerini değiştirdiklerini" söyledi:

  1. "Ad, adres, telefon numarası gibi e-ticaret sipariş bilgilerinizi, ürününüzün sevkiyatından üç ay sonra ayrı bir ortama aktarmayı hedefliyoruz."
  2. “Bu verilerin e-ticaret e-posta sağlayıcımızdan geçmemesi için size gönderdiğimiz sipariş onayı e-postalarındaki adı, adresi ve telefon numarasını sileceğiz.”
  3. "Proaktif olarak önemli güvenlik ve teknik bilgilerin yalnızca Ledger Live aracılığıyla aktarılacağı bir mesajlaşma modeli uygulayacağız."

Ayrıca, tüm tedarikçilerini ve ortaklarını yeniden değerlendirme sözü verdiler.

__
Daha fazlası için: 
2021'de Kripto Güvenliği: DeFi ve Bireysel Kullanıcılara Karşı Daha Fazla Tehdit