Des pirates volent un million d'e-mails de clients du fabricant Ledger
- CryptoMania67
- 29 juil. 2020
- 3 min de lecture
Des pirates informatiques ont réussi à enfreindre la base de données de commerce électronique du célèbre fabricant de portefeuilles matériel de crypto-monnaie Ledger, et lui ont volé un million d'e-mails. Les e-mails ne sont, du moins encore, pas à vendre sur le darknet.
Selon un avis publié dans Ledger, le 14 juin, un chercheur participant à son programme de primes a dévoilé une faille de sécurité potentielle sur le site Web du grand livre, qui a été «immédiatement corrigée» après avoir fait l'objet d'une enquête interne.
Une semaine après la correction de la faille, a noté Ledger, l'entreprise a découvert qu'elle avait été exploitée le 25 juin par un pirate informatique qui avait réussi à accéder à sa base de données de commerce électronique et de marketing pour voler les données des utilisateurs.
Selon l'entreprise, les pirates informatiques ont principalement volé des adresses e-mail et, pour un sous-ensemble de 9500 utilisateurs, ils ont obtenu des noms et prénoms, des adresses postales et des numéros de téléphone. L'entreprise a écrit:
Les coordonnées et les détails de la commande ont été impliqués. Il s'agit principalement de l'adresse e-mail de nos clients, environ 1M d'adresses.
Aucune crypto-monnaie ou information de paiement n'a été volée lors de la violation. Le pirate a réussi à accéder à la base de données de Ledger via une clé API qui a depuis été désactivée et n'est plus accessible, a précisé la société.
Ledger dit qu'il a déjà informé les utilisateurs concernés de la situation et a précisé qu'aucune information de paiement et aucune information d'identification telle que des mots de passe n'ont été volées. Ses portefeuilles matériels et ses applications Ledger Live n'ont pas non plus été affectés par la faille de sécurité.
Au lendemain de la violation, Ledger a contacté la CNIL , l'autorité française de protection des données qui veille à l'application des lois sur la confidentialité des données, et s'est associé à Orange Cyberdefense, une société de cybersécurité, pour évaluer les dommages potentiels de la violation de données. Il a également déposé une plainte officielle auprès des autorités.
La société a en outre ajouté qu'elle «surveillait activement les preuves de la vente de la base de données sur Internet, et n'en a trouvé aucune jusqu'à présent». Il renforce maintenant la sécurité avec des tests de pénétration et en étendant au commerce électronique l'étendue de sa sécurité qui se concentrait à l'origine sur ses portefeuilles matériels et son coffre-fort.
Ledger Recommends Caution
Comme les e-mails des utilisateurs ont été divulgués, Ledger a noté qu'il recommande aux utilisateurs de faire preuve de prudence, en étant attentifs aux tentatives de phishing des escrocs. Il a précisé que "Ledger ne vous demandera jamais les 24 mots de votre phrase de récupération." Le cabinet a souligné:
Si vous recevez un e-mail qui semble provenir de Ledger vous demandant vos 24 mots, vous devez absolument le considérer comme une tentative de phishing.
Ledger a également conseillé aux utilisateurs de visiter la section de sécurité de Ledger Academy pour en savoir plus sur les principes de sécurité et sur les attaques de phishing.
Il convient de noter qu'en mai, un pirate informatique cherchait à vendre des informations client appartenant aux fabricants de portefeuilles de matériel cryptographique Trezor, KeepKey et Ledger.
À l'époque, la société a affirmé n'avoir trouvé aucune preuve que sa base de données avait été violée et que la base de données piratée à vendre ne correspondait pas à la sienne.
Commentaires