Bitcoin Hardware Wallet Ersteller Ledger hat gestern enthüllt, dass seine E-Commerce-Datenbank im vergangenen Monat gehackt wurde, wobei 1 Million E-Mails und einige persönliche Dokumente durchgesickert sind. Von der Verletzung waren keine Benutzergelder betroffen.
Ledger sagte, dass der Angriff nur auf seine Marketing- und E-Commerce-Datenbank abzielte, was bedeutet, dass die Hacker nicht in der Lage waren, auf die Recovery-Key-Pharse oder privaten Schlüssel der Benutzer zuzugreifen. Alle finanziellen Informationen – wie Zahlungsinformationen, Passwörter und Gelder – waren ebenfalls nicht betroffen. Das Unternehmen fügte hinzu, dass der Verstoß in keinem Zusammenhang mit den Hardware-Wallet von Ledger oder seinem Sicherheitsprodukt Ledger Live stand.
„Es handelte sich lediglich um Kontakt- und Bestelldaten. Dabei handelt es sich meist um die E-Mail-Adresse von etwa [1 Million] unserer Kunden. Im Anschluss an die Untersuchung konnten wir auch feststellen, dass eine Teilmenge von ihnen ebenfalls aufgedeckt wurde: Vor- und Nachname, Postanschrift, Telefonnummer und bestellte(s) Produkt(e)“, sagte Ledger in seiner Ankündigung.
Die Firma gab an, dass in 9.500 Fällen detailliertere persönliche Informationen durchgesickert seien, darunter Telefonnummern, Postadressen und welches Produkt sie gekauft haben. Die Ankündigung fügte hinzu, dass „detailliertere persönliche Informationen hätten preisgegeben werden können“.
Ein Forscher, der am Bug-Bounty-Programm von Ledger teilnahm, wies am 14. Juli auf das Problem hin. Die Firma flickte das Problem damals, entdeckte aber später, dass der Bruch bereits Wochen zuvor, am 25. Juni, stattgefunden hatte. Die Ursache: Ein Drittanbieter-Tool, das über einen (inzwischen deaktivierten) API-Schlüssel auf die Marketing- und E-Commerce-Datenbank zugriff.
In einer Notiz an die Kunden sagte Pascal Gauthier, CEO des Ledger, die Firma sei „äußerst bedauerlich“ über den Vorfall. Er warnte die Benutzer weiterhin, vor Phishing-Versuchen vorsichtig zu sein:
„Wir nehmen den Datenschutz sehr ernst, wir haben diese Schwachstelle dank unseres eigenen Bug-Bounty-Programms entdeckt und sofort behoben“.
„Aber ungeachtet all dessen, was wir getan haben, um diese Situation zu vermeiden und zu beheben, entschuldigen wir uns aufrichtig für die Unannehmlichkeiten, die Ihnen durch diese Angelegenheit entstehen können“, fügte Gauthier hinzu.
Unterdessen sagte Ledger, dass Frankreichs Datenschutzbehörde, die CNIL, am 16. Juli über den Bruch informiert wurde. Die Firma arbeitet auch mit der Orange Cyberdefense (OCD) zusammen, um Beweise dafür zu finden, dass die gestohlenen Daten online verkauft wurden. Alle betroffenen Benutzer wurden heute über den Bruch informiert, und die Untersuchung läuft noch.
Textnachweis: Decrypt, Shaurya Malwa
Bitcoin Hyper: Innovative Layer-2-Lösung für Bitcoin
- Extrem niedrige Gebühren – ideal für Mikrozahlungen
- Blitzschnelle Bitcoin-Transaktionen dank Layer-2-Technologie
- Bitcoin meets DeFi: Staking, DEX, Smart Contracts
