op de crypto
In de nasleep van de grootste aanval in de geschiedenis van het bedrijf, en iets meer dan een week na het aannemen van Ledger's nieuwe Chief Information Security Officer (CISO) Matt Johnson, kondigde hardwareportefeuillebedrijf Ledger zijn eerste stappen aan om pak het datalek aan en zorg ervoor dat de aanval niet opnieuw plaatsvindt.
Deze omvatten het werken met blockchain-analysebedrijf Chainalysis om hackers op te sporen, met een beloning van 10 BTC. citaat in realtime) voor de informatie die zal leiden tot de arrestatie van de hacker en een volledig overzicht van welke informatie het bedrijf bewaart, waar deze wordt opgeslagen en hoe lang deze wordt bewaard.
Ledger's hack
Ledger maakte publiekelijk bekend dat bepaalde klantgegevens in juli 2020 gecompromitteerd waren. Destijds schatte het bedrijf dat 9.500 klanten door de hack waren getroffen. In december 2020 heeft een datadump "1 miljoen e-mailadressen en 272.000 namen, postadressen en telefoonnummers blootgelegd van mensen die Ledger-apparaten hadden besteld".
Het aantal getroffen mensen was veel hoger dan de oorspronkelijke schatting van 9.500. Nu heeft Ledger nieuwe informatie over de hack vrijgegeven, waaruit blijkt dat deze waarschijnlijk gedeeltelijk te wijten was aan slechteriken die op dat moment actief waren op Shopify, zijn e-commercepartner.
Shopify-infiltranten
Op 23 december 2020 werd Ledger door Shopify geïnformeerd over een incident waarbij "sommige onbevoegde leden van hun ondersteuningsteam transactielogboeken van klanten hebben verkregen, waaronder die van Ledger tussen april en juni 2020".
Tot 21 december 2020 had Shopify echter niet "ontdekt dat Ledger ook het doelwit was van deze aanval." Shopify vertelde Ledger dat het doorgaat met het onderzoek en dat het probleem was gemeld bij de politie. In samenwerking met het forensisch bureau Orange Cyberdefense onderzocht Ledger de gestolen 292.000 data. Het bedrijf zei dat het klanten had laten weten dat ze op 13 januari waren geraakt.
Ledger's gegevensbeveiliging na de hack
In een Twitter-bericht herhaalde Ledger dat het bedrijf klanten nooit zal vragen om de 24 herstelwoorden die kunnen worden gebruikt om toegang te krijgen tot bitcoin en cryptocurrencies. Ze wezen er ook op dat hun Ledger-hardwareapparaten veilig waren totdat klanten deze woorden deelden.
Volgens Johnson wil Ledger verder gaan dan de privacy die vereist is door de Algemene Verordening Gegevensbescherming van de Europese Unie. Ledger verwijdert gegevens van zijn e-commercepartner en verplaatst klantgegevens naar een database die niet toegankelijk is via internet zodra de bestelling is uitgevoerd, voordat het wettelijk mogelijk is om deze te verwijderen.
Het bedrijf zal ook namen, adressen en telefoonnummers verwijderen uit bevestigingsmails die naar klanten worden gestuurd, zodat deze gegevens niet worden verzonden via externe e-commerce e-mailproviders. Het technische team van Ledger is ook een product aan het ontwikkelen dat "het geld van een gebruiker zal beschermen, zelfs als ze het herstelzaad met een aanvaller delen".
