Bakit Itinago ng Ledger ang Lahat ng Data ng Customer sa Unang Lugar

Una, ang magandang balita, sa paraan ng pagsasalita: Ang mga customer ng Ledger ay makikita na ngayon mismo kung ang kanilang personal na impormasyon ay nalantad sa hack natuklasan noong Hulyo.

May nag-post ng kumpletong listahan ng 1 milyong email address at 272,000 pangalan, mailing address at numero ng telepono na pagmamay-ari ng mga customer ng Maker ng hardware Cryptocurrency wallet na nakabase sa France. Ang huling listahan ay mas malaki kaysa sa numerong dati nang isiniwalat ng Ledger (9,500).

Tinanong tungkol sa pagkakaiba, sinabi ng tagapagsalita ng Ledger: "Sa oras ng insidente, ang mga log mula sa isang third-party na application na namamahala sa aming database ay nagpakita ng 9,500 indibidwal ang naapektuhan. Sabay-sabay, nakikipagtulungan kami sa isang panlabas na organisasyon ng seguridad upang magsagawa ng forensic review, na kinumpirma rin ang 9,500 katao." Sa isang email na ipinadala sa mga customer pagkaraan ng Lunes, sinabi ng Ledger na ang mga detalye sa listahan ng 272,000 "ay hindi magagamit sa mga log na aming nasuri." Ang mga customer na ang impormasyon ay nasa listahang iyon ay aabisuhan sa pamamagitan ng email sa loob ng 24 na oras, sinabi ng kumpanya.

"Ito ay isang napakalaking understatement upang sabihin na taos-puso naming ikinalulungkot ang sitwasyong ito. Lubos naming sineseryoso ang Privacy ," sabi ni Ledger sa isang tweet bagyo Linggo. "Ang pag-iwas sa mga sitwasyong tulad nito ay isang pangunahing priyoridad para sa aming buong kumpanya, at natutunan namin ang mahahalagang aral mula sa sitwasyong ito." Kabilang sa iba pang mga hakbang, ang Ledger ay kumuha ng bagong punong opisyal ng seguridad ng impormasyon at tinanggal ang 170 phishing site mula noong paglabag, sinabi nito.

Mayroong hindi bababa sa tatlong mga site sa pagbabahagi ng file, na nakapagpapaalaala sa ginintuang edad ng mga MP3 blog, kung saan maaari mong i-download ang dalawang listahan. Hindi ko ipo-post ang mga link ngunit tumagal lamang ng ilang minuto sa paghahanap sa Twitter upang mahanap ang mga ito.

Kung na-download mo ang trove, mangyaring suriin para sa iyong sariling mga detalye, pagkatapos ay tanggalin ito. Kung KEEP mo ang file, tumingala sa mga pangalan o tsismis sa mga kaibigan tungkol dito, well, Madidismaya ako.

Ang ilan sa mga email address sa pagtagas ng data ay tumutugma sa mga nakatanggap ng mga phishing na email mula sa mga scammer na naghahanap upang dayain ang mga mambabasa ng CoinDesk .

Bilang nag-ulat kami noong Hulyo, ang mga scammer na ito ay nangongopya ng mga lehitimong CoinDesk Newsletters, nagdaragdag ng ilang mapanlinlang na talata at link tungkol sa isang Crypto giveaway, at ipinapadala ang mga ito sa mga indibidwal na hindi kailanman nag-sign up upang makatanggap ng mga email ng CoinDesk upang magsimula.

Casa CTO Jameson Lopp iminungkahi noong Nobyembre na ang mga customer ng Ledger ay maaaring na-target; Sinusuportahan ng data dump ng Linggo ang teoryang iyon.

Read More: Ang 'Nakakakumbinsi' na Pag-atake sa Phishing ay Nagta-target sa mga Gumagamit ng Ledger Hardware Wallet

Mas malaking larawan

Ang masamang balita: OK, hindi ito balita ngunit ang data dump ng Linggo ay nagsisilbing isang nakababahalang paalala na kahit na ang isang Maker ng hardware Crypto wallet ay maaaring maging honeypot ng sensitibong data. (Ginagamit ko ang terminong "honeypot" sa kahulugan ng "isang mahalagang target para sa mga hacker," hindi "isang decoy site upang bitag sila.")

Ang dahilan ay bahagyang dahil sa mga kinakailangan sa marketing ng isang startup, at bahagyang dahil sa mga kinakailangan sa legal at regulasyon.

Sa isang FAQ nai-post noong Hulyo, sinabi ng kumpanya na na-access ng isang attacker ang bahagi ng database ng marketing nito sa pamamagitan ng API key ng third party na na-misconfigure sa website ng Ledger.

Sa sandaling natuklasan ang paglabag, ang susi ay na-deactivate, sabi ng Ledger. Ngunit hindi sa oras upang pigilan ang mga bastos na ma-access ang mga listahan at, tila, ibenta ang mga ito sa mga phishing artist.

Bakit magkakaroon ng API key ang isang third party? Ang FAQ nagpatuloy sa pagpapaliwanag:

Gumagamit ang mga ledger e-commerce at marketing team ng third-party na solusyon (Iterable) upang magpadala at magsuri ng mga transactional at marketing na email sa mga customer na bumili ng mga produkto sa ledger.com o nag-sign up upang matanggap ang aming mga Newsletters . … Alinsunod sa aming Policy sa Privacy , bilang isang data controller, maaari naming ipadala ang ilan sa iyong data sa mga third party gaya ng mga payment service provider (PSP) na imprastraktura, logistik, at iba pang mga service provider, sa loob ng naaangkop na kontraktwal at legal na mga balangkas.

Sinasaklaw nito ang mga email. Paano ang lahat ng mga mailing address, pangalan at numero ng telepono? Bakit hindi linisin ang mga iyon pagkatapos ipadala ang mga kalakal? Bumalik sa FAQ:

Para sa mga legal na dahilan, obligado kaming mag-imbak ng ilang impormasyon sa transaksyon na may kaugnayan sa mga detalye ng contact ng aming mga customer at data ng kanilang mga order.

Alinsunod sa prinsipyo ng limitasyon sa imbakan na FORTH sa ilalim ng mga naaangkop na batas, sinisikap naming panatilihin ang data nang hindi hihigit sa oras na kinakailangan upang sumunod sa mga lehitimong layunin at legal na layunin, kabilang ang pagtugon sa anumang legal, accounting, buwis, o iba pang mga kinakailangan sa pag-uulat ng pagsunod.

Maaari naming i-archive ang ilan sa iyong personal na data, na may pinaghihigpitang pag-access, para sa isang karagdagang yugto ng panahon kung kailan mahigpit na kinakailangan para sa amin na sumunod sa aming legal at/o regulasyong mga obligasyon sa pag-archive at para sa naaangkop na batas ng mga panahon ng limitasyon.

Sa pagtatapos ng karagdagang panahon na ito, ang iyong natitirang personal na data ay permanenteng mabubura o i-anonymize mula sa aming mga system. Kung bumili ka ng produkto o serbisyo mula sa amin, maaari kaming magpanatili ng ilang data sa transaksyon na naka-attach sa iyong Mga Detalye sa Pakikipag-ugnayan upang sumunod sa aming mga obligasyon sa legal, buwis, o accounting sa loob ng maximum na 10 taon na FORTH ng mga naaangkop na batas ng France, gayundin upang payagan kaming pamahalaan ang aming mga karapatan (halimbawa upang igiit ang aming mga claim sa Mga Hukuman) sa panahon ng naaangkop na mga batas ng limitasyon ng France.

Kailangan din naming panatilihin ang ilan sa iyong personal na data na nakapaloob sa database na ito, upang masagot namin ang iyong mga tanong, maproseso ang mga potensyal na paghahabol, at mapanatili ang ebidensya para sa pagsisiyasat ng kriminal.

Sa madaling salita, kung minsan ang mga kamay ng mga kumpanya ay nakatali at kailangan nilang hawakan ang nakakalason na basura iyon ay data ng customer kahit na T nila.

Lakasan mo ang loob; may mga paraan upang mapagaan ang panganib ng pagkakalantad kahit na kapag nag-order ng mga pisikal na produkto, gaya ng sinabi ng CoinShares Chief Strategy Officer Meltem Demirors sa Twitter:

Read More: Let's Be Privacy Scolds

I-UPDATE (Dis. 21, 16:45 UTC): Nagdagdag ng pahayag mula sa tagapagsalita ng Ledger.

I-UPDATE (Dis. 21, 18:40 UTC): Nagdagdag ng quote mula sa Ledger email sa mga customer.