Ledger, французская компания по производству аппаратных кошельков, сообщила о том, что персональные данные еще 20 000 клиентов были скомпрометированы в результате утечки базы данных пользователей. Таким образом, общее число пострадавших от утечки достигло 292 000.
Компания обновила свою политику конфиденциальности данных для «минимизации потенциального ущерба в будущем» и назначила вознаграждение в размере 10 биткоинов каждому, кто сможет предоставить информацию о хакере.
В блоге Ledger был раскрыт полный масштаб и сроки утечки данных, которая началась еще в апреле 2020 года и затронула примерно 292 000 клиентов.
Взлом, как выяснила компания в прошлом месяце, произошел по вине «мошенников» из Shopify, которая занимается продажами кошельков Ledger. В период с апреля по июнь 2020 года мошенники использовали свой доступ к API для получения транзакционных данных о клиентах Shopify, включая Ledger.
В мае в сети появились сообщения о продаже данных клиентов Ledger из базы данных Shopify. В ответ компания заявила, что «это всего лишь попытка испортить репутацию Ledger». Представитель Ledger Кендалл Кларк в комментарии для Decrypt сказал, что тогда служба безопасности компании заключила, что в то время утечки базы данных не было. Shopify также подтвердила эту информацию.
Ledger осознала потенциальный масштаб утечки в июле 2020 года. Тогда компания обнаружила кражу около миллиона адресов электронной почты, а также около 10 000 записей с персональными данными клиентов (почтовые адреса, имена и номера телефонов).
Однако только в декабре 2020 года Ledger заявила, что в результате расследования стало известно об утечке персональных данных 272 000 клиентов. Теперь, месяц спустя, Shopify сообщила Ledger об утечке информации еще 20 000 клиентов, в результате чего общее число пострадавших достигло 292 000.
Рич Сандерс, генеральный директор аналитической компании CipherBlade, в комментарии для Decrypt сказал: «Для компаний в этой сфере довольно типично преуменьшать масштаб или прямо отрицать взлом. Очевидно, что Ledger изначально не хотела признавать это. Они постарались все преуменьшить и проиграли».
Ledger вновь заявила о том, что «глубоко сожалеет об этом инциденте» и сотрудничает с правоохранительными органами и компаниями по криминалистической экспертизе, чтобы отследить хакера. Компания обещает выплатить вознаграждение в размере 10 биткоинов «за информацию, которая приведет к успешному аресту и привлечению к ответственности».
Компания также обновила политику конфиденциальности. Она направлена на «полное удаление» персональных данных клиентов. Сторонние сервисы, которые сотрудничают с компанией, должны «хранить эти данные в течение как можно более короткого периода времени».