Banco de dados da Ledger é invadido e informações pessoais de 1 milhão de clientes são roubadas

A fabricante de carteiras de hardware, Ledger, revelou hoje que seu banco de dados do seu e-commerce foi invadido no mês passado, vazando e-mails e alguns documentos pessoais de 1 milhão de clientes. Nenhum dinheiro de usuário foi afetado pela violação.

A Ledger disse que o ataque visava apenas seu banco de dados de marketing e e-commerce, o que significa que os hackers não conseguiram acessar as seeds ou as chaves privadas dos usuários. Todas as informações financeiras – como informações de pagamento, senhas e fundos – também não foram afetadas. A violação não tem relação com as carteiras de hardware da Ledger ou com o produto de segurança Ledger Live, acrescentou a empresa.

“Somente informações de contato e pedido foram afetados. Isso é principalmente o endereço de e-mail de aproximadamente 1 milhão de nossos clientes. Em uma investigação mais aprofundada, conseguimos ver que nome e sobrenome, endereço, número de telefone e produtos solicitados também foram expostos”, disse a Ledger em seu anúncio.

Um pesquisador que participou do programa de recompensas por bugs de Ledger sinalizou o problema inicialmente em 14 de julho. A empresa corrigiu o problema na época, mas depois descobriu que a violação ocorreu semanas antes em 25 de junho. A causa: uma ferramenta de terceiros que acessava o marketing e banco de dados do comércio eletrônico usando uma chave de API (agora desativada).

Em nota aos clientes, o CEO da Ledger, Pascal Gauthier, disse que a empresa estava “extremamente arrependida” com o incidente. Ele alertou ainda os usuários a serem cautelosos com as tentativas de phishing: “Levamos a privacidade muito a sério, descobrimos essa vulnerabilidade graças ao nosso próprio programa de recompensas por bugs e corrigimos imediatamente.”

“Mas, independentemente de tudo o que fizemos para evitar e corrigir essa situação, pedimos sinceras desculpas pelo inconveniente que esse problema possa lhe causar”, acrescentou Gauthier.

Enquanto isso, a Ledger disse que a Autoridade de Proteção de Dados da França, a CNIL, foi notificada sobre a violação em 16 de julho. A empresa também está trabalhando com a Orange Cyberdefense (OCD) para encontrar qualquer evidência dos dados roubados sendo vendidos on-line.

Todos os usuários afetados foram notificados sobre a violação hoje e a investigação está em andamento.