Ledger, o principal fornecedor de carteiras de hardware de criptomoeda, alertou os clientes recentemente sobre uma violação de dados enfrentada em junho e julho.
Em 29 de julho, através de um e-mail, a empresa informou que foi informada sobre a violação em 14 de julho; quando um pesquisador que participava de seu programa de recompensa entrou em contato com detalhes de uma possível vulnerabilidade em seu site.
A empresa corrigiu a violação imediatamente. No entanto, uma investigação adicional da equipe descobriu que, em 25 de junho, um terceiro autorizado realizou uma ação semelhante.
O indivíduo usou uma chave de API para acessar o banco de dados de marketing e comércio eletrônico usado pela empresa para enviar e-mails promocionais.
De acordo com a Ledger, isso comprometeu os endereços de e-mail de aproximadamente um milhão de pessoas. Além disso, a empresa acrescentou que, para um subconjunto de 9.500 clientes, detalhes como nome e sobrenome, endereço postal e número de telefone também foram expostos.
API desativada e fundos seguros
A empresa alegou que a chave da API usada para acessar o banco de dados foi desativada.
Após investigar o assunto em conjunto com terceiros e confirmar a violação, Ledger informou que notificou a Autoridade Francesa de Proteção de Dados, CNIL. Assim, tranquilizando os usuários da segurança de seus fundos. Através de uma postagem em seu blog, Ledger disse:
“Suas informações de pagamento e fundos de criptomoedas são seguros […] Em relação aos seus dados de comércio eletrônico, nenhuma informação de pagamento, credenciais (senhas) estavam preocupadas com essa violação de dados. Isso afetou apenas os detalhes de contato de nossos clientes.”
Além disso, a empresa também disse que está monitorando os mercados online para encontrar evidências dos dados roubados sendo vendidos, mas até o momento ainda não encontrou nenhum.
Ledger aconselhou os usuários a serem vigilantes em relação às tentativas de phishing por golpistas maliciosos e disse que nunca lhes pedia suas frases de recuperação.