¿Por qué Ledger conservó todos esos datos de clientes en primer lugar?

Primero, las buenas noticias, por así decirlo: los clientes de Ledger ahora pueden ver de primera mano si su información personal quedó expuesta en el ataque.Descubierto en julio.

Alguien publicó las listas completas de un millón de direcciones de correo electrónico y 272.000 nombres, direcciones postales y números de teléfono de clientes del Maker francés de monederos físicos de Criptomonedas . Esta última lista es mucho mayor que la cifra revelada previamente por Ledger.9.500).

Al preguntársele sobre la discrepancia, un portavoz de Ledger dijo: "En el momento del incidente, los registros de una aplicación de terceros que administraba nuestra base de datos mostraban que 9.500 personas se vieron afectadas. Simultáneamente, estábamos trabajando con una organización de seguridad externa para realizar una revisión forense, que también confirmó 9.500 personas".correo electrónico enviado a los clientesMás tarde el lunes, Ledger declaró que los detalles de la lista de 272.000 "no están disponibles en los registros que pudimos analizar". Los clientes cuya información figuraba en esa lista recibirán una notificación por correo electrónico en un plazo de 24 horas, según informó la compañía.

"Es un eufemismo enorme decir que lamentamos sinceramente esta situación. Nos tomamos la Privacidad muy en serio", dijo Ledger en un Tormenta de tuits el domingoEvitar situaciones como esta es una prioridad absoluta para toda nuestra empresa, y hemos aprendido valiosas lecciones de esta situación. Entre otras medidas, Ledger ha contratado a un nuevo director de seguridad de la información y ha desmantelado 170 sitios de phishing desde la filtración, según informó.

Hay al menos tres sitios para compartir archivos, que recuerdan la época dorada de los blogs de MP3, donde se pueden descargar las dos listas. No publicaré los enlaces, pero los encontré en tan solo unos minutos buscando en Twitter.

Si descargas el tesoro, revisa tus datos y luego bórralo. Si KEEP el archivo, te quedas boquiabierto con los nombres o hablas con tus amigos al respecto, bueno, Estaré muy decepcionado.

Varias de las direcciones de correo electrónico detectadas en la filtración de datos coinciden con aquellas que recibieron correos electrónicos de phishing de estafadores que buscaban defraudar a los lectores de CoinDesk .

Como informamos en julioEstos estafadores copiaban Newsletters legítimos de CoinDesk , agregaban algunos párrafos y enlaces fraudulentos sobre un sorteo de Cripto y los enviaban a personas que nunca se habían registrado para recibir correos electrónicos de CoinDesk .

Casa CTO Jameson Loppsugerido en noviembreque los clientes de Ledger podrían haber sido el objetivo; la filtración de datos del domingo respalda esa teoría.

Sigue leyendo: Un ataque de phishing convincente se dirige a los usuarios de la billetera de hardware Ledger.

Panorama más amplio

La mala noticia: Vale, no es noticia, pero la filtración de datos del domingo sirve como un recordatorio aleccionador de que incluso un Maker de monederos electrónicos de Cripto puede convertirse en una trampa de datos confidenciales. (Uso el término "trampa" en el sentido de "un objetivo valioso para los hackers", no "Un sitio señuelo para atraparlos.")

La razón se debe en parte a los imperativos de marketing de una startup y en parte a los requisitos legales y regulatorios.

En unPreguntas frecuentesEn un artículo publicado en julio, la compañía afirmó que un atacante había accedido a parte de su base de datos de marketing a través de una clave API de terceros que había sido mal configurada en el sitio web de Ledger.

En cuanto se descubrió la brecha, la clave se desactivó, afirmó Ledger. Pero no a tiempo para evitar que los malhechores accedieran a las listas y, al parecer, las vendieran a...artistas del phishing.

¿Por qué un tercero tendría una clave API?Preguntas frecuentesContinúa explicando:

Los equipos de comercio electrónico y marketing de Ledger utilizan una solución de terceros (Iterable) para enviar y analizar correos electrónicos transaccionales y de marketing a los clientes que han comprado productos en ledger.com o se han registrado para recibir nuestros Newsletters . De acuerdo con nuestra Regulación de Privacidad , como controlador de datos, podemos transmitir algunos de sus datos a terceros, como proveedores de servicios de pago (PSP), infraestructura, logística y otros proveedores de servicios, dentro de los marcos contractuales y legales aplicables.

Eso cubre los correos electrónicos. ¿Qué pasa con todas esas direcciones postales, nombres y números de teléfono? ¿Por qué no los eliminamos después de enviar la mercancía? Volviendo a...Preguntas frecuentes:

Por razones legales, estamos obligados a almacenar cierta información transaccional relacionada con los datos de contacto de nuestros clientes y los datos de sus pedidos.

De acuerdo con el principio de limitación de almacenamiento FORTH en las leyes aplicables, nos esforzamos por retener los datos durante no más tiempo que el necesario para cumplir con dichos fines legítimos y legales, incluido el cumplimiento de cualquier requisito de informes legales, contables, fiscales o de otro tipo.

Podremos archivar algunos de sus datos personales, con acceso restringido, durante un período de tiempo adicional cuando sea estrictamente necesario para cumplir con nuestras obligaciones legales y/o reglamentarias de archivo y durante los períodos de prescripción aplicables.

Al finalizar este periodo adicional, sus datos personales restantes se eliminarán permanentemente o se anonimizarán de nuestros sistemas. Si nos adquirió un producto o servicio, podremos conservar algunos datos transaccionales asociados a sus Datos de Contacto para cumplir con nuestras obligaciones legales, fiscales o contables durante un plazo máximo de 10 años, según lo FORTH por la legislación francesa aplicable, así como para poder ejercer nuestros derechos (por ejemplo, para presentar nuestras reclamaciones ante los tribunales) durante los plazos de prescripción aplicables en Francia.

También necesitamos conservar algunos de sus datos personales contenidos en esta base de datos, para poder responder a sus preguntas, procesar posibles reclamos y conservar evidencia para la investigación criminal.

En otras palabras, a veces las empresas tienen las manos atadas y tienen que aferrarse a laresiduos tóxicos Estos son datos de clientes incluso si no lo desean.

No se desanime; hay formas de mitigar el riesgo de exposición incluso al pedir productos físicos, como señaló Meltem Demirors, directora de estrategia de CoinShares.en Twitter:

Sigue leyendo: Seamos regañadores de la Privacidad

ACTUALIZACIÓN (21 de diciembre, 16:45 UTC):Se agregó una declaración del portavoz de Ledger.

ACTUALIZACIÓN (21 de diciembre, 18:40 UTC):Se agregó una cita del correo electrónico de Ledger a los clientes.