- Accesso non autorizzato presso Global-e ha esposto nomi e dettagli di contatto dei clienti Ledger.
- Ledger conferma che le frasi di recupero dei fondi o le chiavi private dei wallet non sono state accessibili.
- Gli esperti di sicurezza avvertono che la fuga di dati di contatto aumenta i rischi di phishing e truffe.
Il produttore di wallet hardware Ledger sta affrontando una nuova esposizione di dati dopo un accesso non autorizzato avvenuto all’interno dei sistemi del suo processore di pagamento terzo Global-e. L’incidente ha coinvolto dettagli personali dei clienti, come nomi e informazioni di contatto, sottratti dall’infrastruttura cloud di Global-e. Non ci sono indicazioni che i fondi dei wallet, le chiavi private o le frasi di recupero siano mai stati compromessi.
Global-e ha notificato i clienti interessati tramite email, dichiarando di aver rilevato attività insolite in una parte del suo ambiente cloud e di aver avviato un’indagine. Il messaggio non ha rivelato quanti clienti Ledger siano stati coinvolti né il momento esatto dell’attacco. La notifica è stata diffusa pubblicamente dopo essere stata condivisa dall’investigatore blockchain ZachXBT su X.
Ledger ha confermato l’incidente, affermando che la violazione è avvenuta interamente all’interno dei sistemi di Global-e. L’azienda ha dichiarato che Global-e ha agito come titolare del trattamento dei dati e per questo ha inviato le notifiche ai clienti.
Violazione di Terzi Confermata da Global-e
Global-e ha dichiarato di aver identificato attività irregolari e di aver rapidamente applicato controlli di sicurezza per contenere il problema. L’azienda ha poi coinvolto specialisti forensi esterni per esaminare in dettaglio l’incidente.
Questa revisione ha confermato un accesso improprio a un set limitato di dati personali dei clienti.
Nella sua email, Global-e ha comunicato ai clienti: “Abbiamo incaricato esperti forensi indipendenti di condurre un’indagine sull’incidente.” Ha aggiunto che gli investigatori hanno confermato che “alcuni dati personali, tra cui nome e informazioni di contatto, sono stati accessibili in modo improprio.” La dichiarazione non ha fatto riferimento a dettagli di pagamento o credenziali di autenticazione.
Ledger ha successivamente confermato tali risultati. L’azienda ha dichiarato che l’accesso non autorizzato ha riguardato i dati degli ordini archiviati nei sistemi informatici di Global-e. Ledger ha ribadito che l’incidente non ha coinvolto la propria infrastruttura interna, i dispositivi o le applicazioni.
Risposta di Ledger e Ambito della Sicurezza
Ledger ha sottolineato che i suoi prodotti self-custodial rimangono non influenzati dall’incidente.
L’azienda ha chiarito che Global-e non può accedere a frasi di recupero, saldi dei wallet o segreti di asset digitali. Ledger ha comunicato che i suoi sistemi hardware e software continuano a funzionare normalmente.
“Questa non è stata una violazione della piattaforma, dell’hardware o dei sistemi software di Ledger,” ha affermato l’azienda.
Ha aggiunto che Global-e ha gestito solo informazioni relative all’acquisto e agli ordini per i clienti che acquistavano tramite Ledger.com. I canali social di Ledger al momento non segnalano incidenti di sicurezza attivi.
L’azienda ha inoltre spiegato perché Global-e ha contattato direttamente i clienti. Ledger ha dichiarato che Global-e controllava i dati interessati e quindi era responsabile delle notifiche di violazione. Al momento della pubblicazione, nessuna delle due aziende ha fornito una stima dei clienti coinvolti.
Correlato: Il CTO di Ledger avverte i possessori di wallet dopo l’hack dell’account NPM
Violazioni Storiche e Rischi Attuali
L’incidente segue diversi eventi di sicurezza passati che hanno coinvolto Ledger. Nel giugno 2020, una API di terze parti mal configurata ha esposto dati di marketing ed e-commerce. Quella violazione ha divulgato circa un milione di indirizzi email e dettagli di contatto per 9.500 clienti.
Nel 2023, gli attaccanti hanno sfruttato una libreria software compromessa legata a Ledger. L’attacco ha sottratto tra 484.000 e 600.000 dollari in criptovalute in cinque ore. Le applicazioni coinvolte includevano SushiSwap, Zapper, MetalSwap e Harvest Finance.
ZachXBT in seguito ha suggerito ai clienti di utilizzare dati di contatto minimi o alternativi durante l’acquisto di wallet hardware. Questo approccio mira a ridurre l’efficacia del phishing mirato se i database vengono esposti. Gli esperti di sicurezza continuano ad avvertire che la fuga di dati di contatto può alimentare attacchi di ingegneria sociale anche senza accesso ai wallet.
