Ledger, grand fournisseur de portefeuilles matériels basé en France, a avoué avoir été victime d’une violation de données le 17 juin qui semble avoir permis à un «tiers» d’accéder à au moins 1 million des coordonnées de ses utilisateurs.
L’entreprise s’est adressée à Bitcoin Era pour déclarer que sa base de données de marketing et de commerce électronique était compromise, exposant les coordonnées de ses clients et les informations de commande, bien que Ledger ait affirmé qu’il n’y avait pas eu de déversement de crypto-monnaies ou d’informations sur les transactions des clients.
Les clients concernés, dit Ledger, ont été informés de la violation par e-mail aujourd’hui. Dans un autre article de blog , la société a ajouté qu’elle avait été informée de la violation le 14 juillet par «un chercheur participant à un programme de primes».
La société a également écrit:
«Vos fonds sont en sécurité et n’ont pas été compromis. Vous êtes le seul à contrôler votre crypto. »
Et Ledger a affirmé avoir «immédiatement enquêté et résolu» le problème.
Cependant, l’ampleur de la brèche semble être considérable. Dans un article de FAQ , la société a expliqué:
«Nous savons que cette base de données comprend environ 1 million d’adresses e-mail qui auraient pu être divulguées et que 9 500 informations personnelles plus détaillées ont également été divulguées, telles que le prénom, le nom, le numéro de téléphone et l’adresse postale et les produits achetés [sic]. Des informations personnelles plus détaillées auraient pu être exposées. »
Ledger a expliqué qu’un „tiers non autorisé avait accès à une partie de notre base de données de commerce électronique et de marketing via la clé API d’un tiers mal configurée sur notre site Web, ce qui permettait un accès non autorisé aux coordonnées de nos clients et aux données de commande.“
La société semble être passée en mode de limitation des dommages, avec un barrage de relations publiques affirmant qu’aucun crypto client n’a été perdu et que «principalement des adresses e-mail» ont été exposées dans la brèche.
Pascal Gauthier, PDG de Ledger, a écrit une lettre aux clients, les avertissant d’être à l’affût d’attaques de phishing à la suite de la brèche
Gauthier a déclaré que Ledger avait été en contact avec l’autorité française de protection des données (la Commission nationale de l’informatique et des libertés ou CNIL ) et a déclaré que Ledger «continue de travailler avec les autorités tout au long du processus judiciaire».
Gauthier a écrit,
«Nous surveillons en permanence les preuves de la divulgation des coordonnées de nos clients sur Internet, et nous n’en avons trouvé aucune jusqu’à présent. Nous avons également effectué un test de pénétration interne. »
Le PDG a ajouté que Ledger est „actuellement en train de déposer une plainte devant le parquet français“ et a déclaré que le cabinet „soutiendra les enquêtes des forces de l’ordre“.