- Несанкционированный доступ в Global-e привёл к утечке имён и контактных данных клиентов Ledger.
- Ledger подтверждает, что фразы восстановления средств или приватные ключи кошельков не были скомпрометированы.
- Эксперты по безопасности предупреждают, что утечка контактных данных увеличивает риски фишинга и мошенничества.
Производитель аппаратных кошельков Ledger столкнулся с новой утечкой данных после того, как несанкционированный доступ был получен к системам его стороннего платёжного процессора Global-e. Инцидент затронул персональные данные клиентов, такие как имена и контактная информация, которые были получены из облачной инфраструктуры Global-e. Нет никаких свидетельств того, что средства на кошельках, приватные ключи или фразы восстановления когда-либо были скомпрометированы.
Global-e уведомила пострадавших клиентов по электронной почте, сообщив, что обнаружила необычную активность в части своей облачной среды и начала расследование. В письме не раскрывалось, сколько клиентов Ledger пострадало или когда именно произошла атака. Уведомление впервые стало публичным после того, как блокчейн-исследователь ZachXBT поделился им на X.
Ledger подтвердила инцидент, отметив, что нарушение полностью произошло в системах Global-e. Компания сообщила, что Global-e выступала в роли контролёра данных и поэтому разослала уведомления клиентам.
Нарушение со стороны третьей стороны подтверждено Global-e
Global-e заявила, что выявила аномальную активность и быстро ввела меры безопасности для локализации проблемы. Затем компания привлекла внешних судебных экспертов для детального анализа инцидента.
Проведённое расследование подтвердило несанкционированный доступ к ограниченному объёму персональных данных клиентов.
В своём письме Global-e сообщила клиентам: «Мы пригласили независимых судебных экспертов для расследования инцидента». Также было уточнено, что следователи подтвердили «некорректный доступ к некоторым персональным данным, включая имя и контактную информацию». В заявлении не упоминались платёжные данные или аутентификационные реквизиты.
Позднее Ledger подтвердила эти выводы. Компания сообщила, что несанкционированный доступ затронул данные о заказах, хранящиеся в информационных системах Global-e. Ledger вновь подчеркнула, что инцидент не затронул её внутреннюю инфраструктуру, устройства или приложения.
Реакция Ledger и масштабы угрозы безопасности
Ledger подчеркнула, что её продукты для самостоятельного хранения средств не пострадали в результате инцидента.
Компания уточнила, что Global-e не имеет доступа к фразам восстановления, балансу кошельков или секретам цифровых активов. Ledger сообщила, что её аппаратные и программные системы продолжают работать в штатном режиме.
«Это не было нарушением платформы, аппаратных или программных систем Ledger», — заявила компания.
Она добавила, что Global-e обрабатывала только информацию о покупках и заказах клиентов, совершающих покупки через Ledger.com. На данный момент в социальных сетях Ledger нет информации о текущих инцидентах безопасности.
Компания также объяснила, почему Global-e напрямую связывалась с клиентами. Ledger отметила, что Global-e контролировала затронутые данные и, соответственно, отвечала за уведомления о нарушении. На момент публикации ни одна из компаний не предоставила оценку числа пострадавших клиентов.
Связано: Технический директор Ledger предупреждает владельцев кошельков после взлома NPM-аккаунта
Исторические утечки и постоянные риски
Этот инцидент последовал за несколькими предыдущими случаями компрометации безопасности, связанными с Ledger. В июне 2020 года неправильно настроенный сторонний API привёл к утечке маркетинговых и коммерческих данных. В результате было раскрыто примерно миллион адресов электронной почты и подробные контактные данные 9500 клиентов.
В 2023 году злоумышленники воспользовались скомпрометированной программной библиотекой, связанной с Ledger. В ходе атаки было похищено от $484,000 до $600,000 в криптовалюте за пять часов. Пострадавшими приложениями стали SushiSwap, Zapper, MetalSwap и Harvest Finance.
ZachXBT впоследствии рекомендовал клиентам использовать минимальные или альтернативные контактные данные при покупке аппаратных кошельков. Такой подход направлен на снижение эффективности целевого фишинга в случае утечки баз данных. Эксперты по безопасности продолжают предупреждать, что утечка контактных данных может стать инструментом для атак социальной инженерии даже без доступа к кошелькам.
