- Несанкціонований доступ у Global-e призвів до витоку імен та контактних даних клієнтів Ledger.
- Ledger підтверджує, що фрази відновлення чи приватні ключі від гаманців не були скомпрометовані.
- Експерти з безпеки попереджають, що витік контактних даних підвищує ризики фішингу та шахрайства.
Виробник апаратних гаманців Ledger стикається з новим витоком даних після несанкціонованого доступу до систем стороннього платіжного процесора Global-e. Інцидент стосувався персональних даних клієнтів, зокрема імен та контактної інформації, отриманих із хмарної інфраструктури Global-e. Немає жодних ознак того, що кошти з гаманців, приватні ключі або фрази відновлення були скомпрометовані у будь-який момент.
Global-e повідомила постраждалих клієнтів електронною поштою, заявивши, що виявила незвичну активність у частині своєї хмарної інфраструктури та розпочала розслідування. У повідомленні не вказано, скільки клієнтів Ledger постраждало чи коли саме стався інцидент. Повідомлення вперше стало публічним після поширення його блокчейн-дослідником ZachXBT на X.
Ledger підтвердив інцидент, зазначивши, що порушення відбулося виключно в системах Global-e. Компанія повідомила, що Global-e виступала контролером даних і саме тому надсилала повідомлення клієнтам.
Порушення у сторонньої компанії підтверджено Global-e
Global-e заявила, що виявила нерегулярну активність і швидко впровадила заходи безпеки для локалізації проблеми. Після цього компанія залучила зовнішніх судових експертів для детального розслідування інциденту.
Це розслідування підтвердило неправомірний доступ до обмеженого набору персональних даних клієнтів.
У своєму листі Global-e повідомила клієнтам: «Ми залучили незалежних судових експертів для проведення розслідування інциденту». Також було зазначено, що розслідувачі підтвердили «неправомірний доступ до певних персональних даних, серед яких ім’я та контактна інформація». У заяві не йшлося про платіжні реквізити чи автентифікаційні дані.
Ledger згодом підтвердив ці висновки. Компанія повідомила, що несанкціонований доступ стосувався даних щодо замовлень, які зберігалися у інформаційних системах Global-e. Ledger наголосила, що інцидент не торкнувся її внутрішньої інфраструктури, пристроїв чи застосунків.
Реакція Ledger і масштаби інциденту
Ledger підкреслила, що її продукти для самостійного зберігання активів залишаються недоторканими.
Компанія уточнила, що Global-e не має доступу до фраз відновлення, балансу гаманців чи секретів цифрових активів. Ledger повідомила, що її апаратне та програмне забезпечення продовжує працювати у штатному режимі.
«Це не було порушення платформи, апаратного чи програмного забезпечення Ledger», — заявила компанія.
Також було наголошено, що Global-e здійснювала лише обробку інформації про покупки та замовлення для клієнтів, які купують через Ledger.com. На даний момент у соціальних мережах Ledger не повідомляється про жодні активні інциденти безпеки.
Компанія також пояснила, чому саме Global-e контактувала з клієнтами напряму. Ledger зазначила, що контролером постраждалих даних був Global-e, тому саме вона несе відповідальність за повідомлення про інцидент. На момент публікації жодна з компаній не надала оцінки кількості постраждалих клієнтів.
Дивіться також: Технічний директор Ledger попереджає власників гаманців після злому облікового запису NPM
Попередні інциденти та поточні ризики
Інцидент стався після кількох попередніх випадків порушення безпеки, пов’язаних із Ledger. У червні 2020 року неправильно налаштований сторонній API призвів до витоку маркетингових та e-commerce даних. Тоді було скомпрометовано близько мільйона електронних адрес і детальної контактної інформації 9500 клієнтів.
У 2023 році зловмисники скористалися скомпрометованою бібліотекою програмного забезпечення, пов’язаною з Ledger. Протягом п’яти годин атаки було викрадено від $484 000 до $600 000 у криптовалюті. Серед постраждалих застосунків були SushiSwap, Zapper, MetalSwap та Harvest Finance.
ZachXBT згодом порадив клієнтам використовувати мінімальну або альтернативну контактну інформацію під час купівлі апаратних гаманців. Такий підхід має на меті знизити ефективність цільового фішингу у разі витоку баз даних. Експерти з безпеки й надалі попереджають, що витік контактних даних може стати підґрунтям для соціотехнічних атак навіть без доступу до гаманців.
