Ledger ha confirmado oficialmente que sufrieron una violación de datos el 25 de junio de 2020 debido a un ataque de piratas informáticos.
El descubrimiento se realizó solo el 14 de julio, gracias a un investigador que participó en el programa de recompensas de la compañía francesa.
Tan pronto como se recibió el informe de los investigadores sobre una posible violación de datos, se inició una investigación interna para corregir la violación, y se descubrió que había sido explotada el 25 de junio por un tercero no autorizado que logró obtener acceso a su e-commerce y base de datos de marketing.
La empresa utiliza esta base de datos para enviar confirmaciones de pedidos y correos electrónicos promocionales, y se compone principalmente de direcciones de correo electrónico.
En algunos casos, los detalles de contacto y pedido, como el nombre y apellido, la dirección postal y el número de teléfono, también se almacenan en él.
Sin embargo, la compañía informa que la información de pago y los fondos están seguros.
Violación de datos contables: lo que sucedió
El hacker tuvo acceso a esta base de datos a través de una clave API, que ahora se ha desactivado y ya no se puede usar.
En total, se accedió a aproximadamente 1 millón de direcciones de correo electrónico, así como datos adicionales de 9.500 clientes.
El hacker no tenía acceso a ninguna credencial de inicio de sesión ni contraseña.
Además, la violación de datos solo se refiere a esta base de datos específica, y no tiene nada que ver con las billeteras de hardware de la compañía, o Ledger Live y los activos de criptomonedas, a los que el pirata informático nunca tuvo acceso.
Finalmente, el 17 de julio, la compañía notificó a la CNIL, la autoridad francesa de protección de datos que supervisa la aplicación de la ley de privacidad y la retención de datos personales, y presentó una queja formal a las autoridades para facilitar su investigación.
Por el momento, no hay indicios de que la base de datos se haya puesto a la venta en Internet.
La compañía también señala que la posesión de la semilla de la billetera (las 24 palabras) es exclusiva de los usuarios, y que Ledger nunca se la pedirá a nadie. En otras palabras, quien sea que lo haga es probable que sea un estafador, incluso si no parecen ser de la misma compañía.
El CEO de Ledger, Pascal Gauthier, también envió una comunicación a los usuarios con la que confirmó el ataque y agregó:
“Lamentamos mucho este incidente. Nos tomamos muy en serio la privacidad y nos disculpamos sinceramente por las molestias que este asunto pueda causarle”.
