blog

Hardware walletfabrikant Ledger meldt datalek, geen bitcoin en cryptocurrency in gevaar

By 29 juli 2020No Comments

Ledger, de fabrikant van de best verkochte hardware wallet ter wereld, schrijft dat er eind juni een datalek heeft plaatsgevonden in hun marketing- en e-commercedatabase.

Alleen commerciële gegevens

Contact- en orderinformatie van klanten waren zichtbaar, maar het bedrijf zei dat betalingsinformatie en cryptofondsen niet zijn beïnvloed. Getroffen klanten zijn op de hoogte gebracht, aldus Ledger, die gedetailleerd uiteenzet hoe het datalek heeft kunnen plaatsvinden.

Het Franse bedrijf vond de kwetsbaarheid toen een onderzoeker die deelnam aan het bountyprogramma op 14 juli contact opnam over een mogelijke inbreuk op de Ledger-website. Hoewel Ledger zei dat het de inbreuk onmiddellijk heeft hersteld en een intern onderzoek heeft geopend, kwamen ze erachter dat het lek toch uitgebuit is. Op 25 juni kreeg een derde partij toegang tot de marketing- en e-commercedatabase met een inmiddels gedeactiveerde API-sleutel.

Geen cryptocurrency in gevaar

Omdat de aanval gericht was op de marketing- en e-commerce-database, hadden de hackers geen toegang tot de inloggegevens of private keys van gebruikers. Betalingsinformatie, wachtwoorden en fondsen zijn niet beïnvloed en de inbreuk heeft eigenlijk niets te maken met de hardware wallets van Ledger of het beveiligingsproduct Ledger Live, aldus een e-mail van het bedrijf aan ons.

De e-mailadressen van ongeveer een miljoen klanten kunnen wel gedeeld zijn:

‘Er waren alleen contact- en bestelgegevens blootgegeven. Denk aan de e-mailadressen van ongeveer 1 miljoen van onze klanten. Na onderzoek hebben we ook kunnen vaststellen dat een andere subset van hen ook zichtbaar was. Hierin staan voor- en achternamen, adressen, telefoonnummers en welke producten er zijn besteld.’

Deel geen inloggegevens

Om deze reden adviseert Ledger zijn klanten om zich bewust te zijn van phishing pogingen. Ledger zegt dat ze nooit om inloggegevens van gebruikers zullen vragen.

Ze gaan nog even door het stof:

‘We nemen privacy zeer serieus, we hebben deze kwetsbaarheid ontdekt dankzij ons eigen bugbounty-programma, en we hebben het onmiddellijk opgelost. Maar wat we ook hebben gedaan om deze situatie te voorkomen en op te lossen, onze excuses voor het ongemak dat deze kwestie u kan bezorgen.’

Stier bij de hoorns

Twee dagen nadat de onderzoeker de kwetsbaarheid had blootgelegd, diende Ledger een rapport in bij de Franse autoriteit voor gegevensbescherming, de CNIL. Op 21 juli huurde Ledger Orange Cyberdefense (OCD) in om de mogelijke schade te beoordelen.

Het bedrijf let nog steeds op of de gestolen gegevens niet op internet wordt verkocht, maar zei dat het tot nu toe geen reden heeft gevonden om te geloven dat dit het geval is. De OCS heeft op 24 juli een eerste rapport ingediend, maar het onderzoek van CNIL loopt nog.

Leave a Reply