A Ledger, fabricante de carteiras hardware para criptomoedas, anunciou nesta quarta-feira (13) que criou um fundo com 10 bitcoins (cerca de R$ 1,8 milhão) que serão usados para pagar por informações que ajudem a identificar os hackers (ou hacker) que expuseram dados de clientes da empresa.
Em dezembro, uma base com 270 mil registros de clientes – incluindo e-mails, endereços físicos e números de telefone – foi exposta na internet. Informações de cerca de 1500 brasileiros estavam na lista.
“A Ledger está comprometendo vários recursos adicionais para identificar e processar os responsáveis pelos ataques, incluindo um fundo de recompensa de 10 BTC por informações que levem à prisão e a um processo judicial bem-sucedido”, informou.
As criptomoedas já estão na wallet (bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc), conforme consulta na blockchain.com.
Medidas de segurança
No mesmo comunicado, a empresa de tecnologia anunciou que fará algumas mudanças para evitar possíveis vazamentos de dados e ataques phishing no futuro.
Uma das ações, por exemplo, será a exclusão permanente dos dados pessoais dos consumidores, como nome, endereço e número de telefone. Vale lembrar que sempre que alguém compra produtos – seja na Ledger ou em outra empresa – esses dados costumam ser coletados.
“Estamos desafiando a nós mesmos e a fornecedores terceirizados a manter esses dados pelo menor período de tempo necessário para cumprir nossas obrigações com nossos clientes (como efetuar o pedido) e a lei (como obrigações contábeis e legais)”, disse a empresa.
A Ledger disse ainda que dados que precisam ser mantidos serão colocados em um ambiente protegido. “Por exemplo, nosso objetivo é colocar as informações do seu pedido de comércio eletrônico, como nome, endereço e número de telefone, em um ambiente segregado três meses após o envio do seu produto”, complementou.
A companhia de tecnologia também informou que, para proteger informações dos clientes, não informará mais em e-mails de confirmação de pedidos dados como nome, endereço e telefone. Disse também que deve implementar um novo modelo de comunicação com consumidores, feita exclusivamente por meio de um sistema próprio.
Por fim, informou que contratou investigadores privados e empresas para investigar o vazamento e encontrar os responsáveis.
Ledger diz que vazamento ocorreu por meio da Shopify
No comunicado, a Ledger também informou que o vazamento de dados de clientes ocorreu por meio da Shopify, provedor que fornece serviços de comércio eletrônico para a Ledger. Colaboradores da empresa teriam exportado ilegalmente registros de transações de consumidores entre abril e junho de 2020.
FBI, Ministério Público e empresas privadas investigam o incidente, segundo a Ledger.
Vale lembrar que em maio do ano passado um hacker anunciou a venda de supostos dados roubados da Ledger, da Trezor e da KeepKey, as três principais hardware wallets do mercado de criptomoedas. O criminoso virtual informou que havia conseguido os dados por meio da Shopify.
Na época, a Trezor divulgou que não usava o Shopify. Já a Ledger informou que estava investigando, mas disse que os dados vendidos pelo hacker não correspondiam com o banco de dados da empresa. A KeepKey não comentou o caso.
