A Ledger, uma das maiores empresas de carteiras de hardware de criptomoedas, revelou uma grande violação de segurança de seu banco de dados de comércio eletrônico e marketing, que resultou no comprometimento de 1 milhão de endereços de e-mail de clientes. Além dos endereços de e-mail, que podem ser usados em ataques de phishing, o hacker obteve informações de identificação pessoal (PII) de 9.500 clientes, incluindo nome e sobrenome, endereço postal, número de telefone e produtos encomendados.
Em comunicado, a Ledger afirma que nenhuma informação financeira ou senha foi obtida e que o incidente não afeta as carteiras de hardware ou os fundos armazenados dos clientes. A empresa informou que notificou a agência reguladora de proteção de dados da França (CNIL, na sigla em francês) em 17 de julho e solicitou a ajuda da Orange Cyberdefense quatro dias depois para avaliar os danos e melhorar sua postura de segurança interna.
Veja isso
Operações com bitcoin lavaram US$ 28 bilhões em 2019
Fundo de investimento em criptomoeda tem mais de 260 mil senhas roubadas
“Em 14 de julho, um pesquisador participando do nosso programa de recompensas nos informou sobre uma possível violação de dados no site da Ledger. Corrigimos imediatamente essa violação depois de receber o relatório do pesquisador e passamos por uma investigação interna “, diz a nota da empresa. “Uma semana após corrigir a violação, descobrimos que ela havia sido explorada em 25 de junho de 2020 por um terceiro não autorizado que acessou nosso banco de dados de comércio eletrônico e marketing.”
A empresa acrescentou que agora está tomando medidas para cumprir a ISO 27001.
Para o vice-presidente de tecnologia de cloud security practice da Rapid7, Chris DeRamus, diz que, apesar das garantias da Ledger, o incidente afetará a confiança do cliente na marca. “É crucial garantir que todas as informações confidenciais, de endereços de e-mail a fundos de criptomoeda, sejam seguras e mantidas fora das mãos dos atores de ameaças”, disse ele, em declaração à Infosecurity.
Segundo ele, garantir que o banco de dados esteja protegido, as empresas devem ter uma governança de gerenciamento de acesso à identidade (IAM). “Eles devem seguir o princípio do acesso menos privilegiado ao provisionar permissões do IAM fornecendo verificações para impedir que as identidades possam acessar além de seus sistemas.”
