- Hindi awtorisadong pag-access sa Global-e ang naglantad ng mga pangalan at detalye ng kontak ng mga customer ng Ledger.
- Kumpirmado ng Ledger na ang mga recovery phrase ng pondo o private key ng mga wallet ay hindi na-access.
- Nagbabala ang mga eksperto sa seguridad na ang nalantad na contact data ay nagpapataas ng panganib ng phishing at scam.
Ang gumagawa ng hardware wallet na Ledger ay humaharap sa panibagong insidente ng pagkalantad ng datos matapos magkaroon ng hindi awtorisadong pag-access sa loob ng mga sistema ng third-party payment processor nitong Global-e. Ang insidenteng ito ay kinasangkutan ng personal na detalye ng mga customer tulad ng pangalan at impormasyon ng kontak na nakuha mula sa cloud infrastructure ng Global-e. Walang indikasyon na ang pondo ng wallet, private key, o recovery phrase ay nakompromiso sa kahit anong punto.
Inabisuhan ng Global-e ang mga apektadong customer sa pamamagitan ng email, na nagsasaad na natukoy nito ang hindi karaniwang aktibidad sa bahagi ng kanilang cloud environment at nagsagawa ng isang imbestigasyon. Hindi ibinunyag sa mensahe kung ilang Ledger customer ang naapektuhan o ang eksaktong petsa ng pangyayari. Unang lumaganap sa publiko ang abisong ito matapos ibahagi ng blockchain investigator na si ZachXBT sa X.
Kumpirmado ng Ledger ang insidente, na nagsasaad na ang breach ay ganap na naganap sa loob ng mga sistema ng Global-e. Sinabi ng kumpanya na ang Global-e ang gumaganap bilang data controller kaya't ito ang nagpadala ng abiso sa mga customer.
Kumpirmado ng Global-e ang Third-Party Breach
Sinabi ng Global-e na natukoy nito ang irregular na aktibidad at agad na nagpatupad ng mga hakbang sa seguridad upang mapigil ang isyu. Nagdala rin sila ng mga external forensic specialist upang masusing suriin ang insidente.
Kinumpirma ng pagsusuring ito ang hindi tamang pag-access sa limitadong bahagi ng personal na datos ng customer.
Sa kanilang email, sinabi ng Global-e sa mga customer, “Nagrekruta kami ng independent forensic experts upang magsagawa ng imbestigasyon hinggil sa insidente.” Dagdag pa nito na kinumpirma ng mga imbestigador na “ang ilang personal na datos, kabilang ang pangalan at impormasyon ng kontak, ay hindi wasto o awtorisadong na-access.” Wala sa pahayag ang tumukoy sa detalye ng bayad o authentication credentials.
Inulit ng Ledger ang mga natuklasang ito. Sinabi ng kumpanya na ang hindi awtorisadong pag-access ay nakaapekto lamang sa order data na nakaimbak sa loob ng mga information system ng Global-e. Inulit ng Ledger na hindi naapektuhan ng insidente ang kanilang internal na infrastructure, mga device, o mga application.
Ledger Response at Saklaw ng Seguridad
Binanggit ng Ledger na ang kanilang self-custodial na mga produkto ay nananatiling hindi naapektuhan ng insidente.
Nilinaw ng kumpanya na walang access ang Global-e sa recovery phrase, balanse ng wallet, o digital asset secrets. Sinabi ng Ledger na ang kanilang hardware at software system ay patuloy na gumagana nang normal.
“Hindi ito paglabag sa platform, hardware, o software system ng Ledger,” ayon sa kumpanya.
Dagdag pa nito na ang Global-e ay nagpoproseso lang ng mga impormasyon kaugnay ng pagbili at order para sa mga customer na bumibili sa Ledger.com. Sa kasalukuyan, walang aktibong security incident na nakalista sa social media channels ng Ledger.
Ipinaliwanag din ng kumpanya kung bakit ang Global-e ang direktang nag-abiso sa mga customer. Sinabi ng Ledger na ang Global-e ang may kontrol sa naapektuhang datos kaya sila ang may responsibilidad sa notification ukol sa breach. Sa oras ng paglalathala, wala pang inilalabas na estimate ng apektadong customer ang alinman sa dalawang kumpanya.
Kaugnay: Nagbabala ang Ledger CTO sa mga Wallet Holder Matapos ang NPM Account Hack
Mga Nakaraang Breach at Patuloy na Panganib
Ang insidente ay kasunod ng ilang nakaraang insidente ng seguridad na kinasangkutan ang Ledger. Noong Hunyo 2020, isang maling pagkaka-configure ng third-party API ang naglantad ng marketing at e-commerce data. Ang breach na iyon ay nagbunyag ng humigit-kumulang isang milyong email address at detalyadong contact data ng 9,500 customer.
Noong 2023, sinamantala ng mga umaatake ang isang compromised na software library na konektado sa Ledger. Ang atake ay nagresulta sa pagkawala ng humigit-kumulang $484,000 hanggang $600,000 na halaga ng cryptocurrency sa loob ng limang oras. Kabilang sa mga naapektuhang application ang SushiSwap, Zapper, MetalSwap, at Harvest Finance.
Iminungkahi ni ZachXBT na gumamit ang mga customer ng minimal o alternatibong contact information kapag bumibili ng hardware wallet. Ang ganitong paraan ay naglalayong bawasan ang epekto ng targeted phishing sakaling malantad ang mga database. Patuloy ang babala ng mga eksperto sa seguridad na ang nalantad na contact data ay maaaring gamitin sa social engineering attacks kahit walang access sa wallet.
