Французская компания Ledger, производитель аппаратных криптовалютных кошельков, сообщила в среду, 29 июля, об утечке базы данных клиентов. Согласно заявлению Ledger, пострадавшие клиенты получили уведомления по электронной почте, которые подробно описывают особенности утечки.
Об уязвимости компании 14 июля сообщил специалист, который участвуюет в баг-баунти программе Ledger. Компания провела внутреннее расследование, в ходе которого выяснилось, что 25 июня злоумышленник получил доступ к базе данных маркетингового отдела компании, используя API-ключ, который с тех пор был деактивирован.
Учетка не включает какие-либо данные, которые могут быть использованы для доступа к аппаратными кошельками Ledger, однако email-адреса 1 млн клиентов Ledger были скомпрометированы.
«Были затронуты контактные данные и детали заказа ― в основном это адреса электронной почты 1 млн наших клиентов. В ходе расследования мы также смогли установить, что раскрыта часть данных о клиентах, которые включают: имя и фамилию, почтовый адрес, номер телефона и заказанный продукт», ― говорится в блоге компании.
«Ваши криптоактивы находятся в безопасности, им ничего не угрожает», ― подчеркнула компания в электронном письме клиентам.
Компания предупредила о возможных попытках фишинга и напомнила, что ни при каких условиях не запрашивает у пользователей фразу восстановления кошелька.
Через два дня после обнаружения уязвимости Ledger уведомила об утечке Управление по защите данных Франции; с 21 июля Ledger сотрудничает компанией по кибербезопасности Orange Cyberdefense.