Pourquoi Ledger a-t-il conservé toutes ces données clients ?

Tout d'abord, la bonne nouvelle, en quelque sorte : les clients de Ledger peuvent désormais voir de première main si leurs informations personnelles ont été exposées lors du piratage.découvert en juillet.

Quelqu'un a publié la liste complète d'un million d'adresses e-mail et de 272 000 noms, adresses postales et numéros de téléphone appartenant aux clients du Maker français de portefeuilles matériels de Cryptomonnaie . Cette liste est bien plus importante que celle précédemment divulguée par Ledger (9 500).

Interrogé sur cette divergence, un porte-parole de Ledger a déclaré : « Au moment de l’incident, les journaux d’une application tierce gérant notre base de données indiquaient que 9 500 personnes étaient concernées. Simultanément, nous collaborions avec une organisation de sécurité externe pour mener une analyse forensique, qui a également confirmé 9 500 personnes. » Dans une-mail envoyé aux clientsPlus tard lundi, Ledger a déclaré que les détails de la liste des 272 000 « ne sont pas disponibles dans les journaux que nous avons pu analyser ». Les clients dont les informations figuraient dans cette liste seront informés par courriel dans les 24 heures, a précisé la société.

« C'est un euphémisme de dire que nous regrettons sincèrement cette situation. Nous prenons la Politique de confidentialité très au sérieux », a déclaré Ledger dans un communiqué. tempête de tweets dimanche« Éviter de telles situations est une priorité absolue pour toute notre entreprise, et nous en avons tiré de précieux enseignements. » Entre autres mesures, Ledger a embauché un nouveau responsable de la sécurité informatique et a démantelé 170 sites de phishing depuis la faille, a-t-elle indiqué.

Il existe au moins trois sites de partage de fichiers, rappelant l'âge d'or des blogs MP3, où vous pouvez télécharger les deux listes. Je ne publierai pas les liens, mais il ne m'a fallu que quelques minutes de recherche sur Twitter pour les trouver.

Si vous téléchargez le trésor, vérifiez vos informations personnelles, puis supprimez-le. Si vous KEEP le fichier, lisez attentivement les noms ou en parlez à vos amis, eh bien… Je serai très déçu.

Plusieurs des adresses e-mail impliquées dans la fuite de données correspondent à celles qui ont reçu des e-mails de phishing provenant d'escrocs cherchant à frauder les lecteurs de CoinDesk .

Comme nous avons rapporté en juillet, ces escrocs copiaient les Newsletters légitimes de CoinDesk , ajoutaient des paragraphes et des liens frauduleux sur un cadeau de Crypto , et les envoyaient à des personnes qui ne s'étaient jamais inscrites pour recevoir les e-mails de CoinDesk au départ.

Jameson Lopp, directeur technique de Casasuggéré en novembreque les clients de Ledger pourraient avoir été ciblés ; la divulgation de données de dimanche confirme cette théorie.

Sur le même sujet : Une attaque de phishing « convaincante » cible les utilisateurs du portefeuille matériel Ledger

Vue d'ensemble

La mauvaise nouvelle : OK, ce n'est pas une nouvelle, mais la divulgation de données de dimanche sert de rappel brutal que même un Maker de portefeuilles Crypto matériels peut devenir un pot de miel de données sensibles. (J'utilise le terme « pot de miel » dans le sens de « cible précieuse pour les pirates informatiques », et non «un site leurre pour les piéger.")

La raison est en partie due aux impératifs marketing d’une startup, et en partie aux exigences légales et réglementaires.

Dans unFAQPublié en juillet, la société a déclaré qu'un attaquant avait accédé à une partie de sa base de données marketing via la clé API d'un tiers qui avait été mal configurée sur le site Web de Ledger.

Dès que la faille a été découverte, la clé a été désactivée, a déclaré Ledger. Mais pas à temps pour empêcher les malfaiteurs d'accéder aux listes et, apparemment, de les vendre àartistes du phishing.

Pourquoi un tiers aurait-il une clé API ?FAQcontinue en expliquant :

Les équipes e-commerce et marketing de Ledger utilisent une solution tierce (Iterable) pour envoyer et analyser des e-mails transactionnels et marketing aux clients qui ont acheté des produits sur ledger.com ou qui se sont inscrits pour recevoir nos Newsletters . … Conformément à notre Juridique de Politique de confidentialité , en tant que responsable du traitement des données, nous pouvons transmettre certaines de vos données à des tiers tels que des prestataires de services de paiement (PSP), des infrastructures, des prestataires logistiques et d'autres prestataires de services, dans le cadre contractuel et juridique applicable.

Voilà pour les e-mails. Qu'en est-il de toutes ces adresses postales, noms et numéros de téléphone ? Pourquoi ne pas les supprimer après l'expédition ? Retour à laFAQ:

Pour des raisons légales, nous sommes obligés de conserver certaines informations transactionnelles relatives aux coordonnées de nos clients et à leurs données de commande.

Conformément au principe de limitation du stockage FORTH dans les lois applicables, nous nous efforçons de conserver les données pendant une durée n'excédant pas celle nécessaire pour se conformer à ces finalités légitimes et légales, y compris pour satisfaire à toutes les exigences légales, comptables, fiscales ou autres exigences de déclaration de conformité.

Nous pouvons archiver certaines de vos données personnelles, avec un accès restreint, pendant une durée supplémentaire lorsque cela est strictement nécessaire pour nous permettre de respecter nos obligations légales et/ou réglementaires d'archivage et pendant les délais de prescription applicables.

À l'issue de cette période supplémentaire, vos données personnelles restantes seront définitivement effacées ou anonymisées de nos systèmes. Si vous avez acheté un produit ou un service auprès de nous, nous pouvons conserver certaines données transactionnelles liées à vos coordonnées afin de respecter nos obligations légales, fiscales ou comptables pendant une période maximale de 10 ans FORTH par la législation française applicable, ainsi que pour nous permettre de gérer nos droits (par exemple, pour faire valoir nos droits devant les tribunaux) pendant les délais de prescription français applicables.

Nous devons également conserver certaines de vos données personnelles contenues dans cette base de données, afin de pouvoir répondre à vos questions, de traiter d'éventuelles réclamations et de conserver des preuves pour l'enquête criminelle.

En d’autres termes, les entreprises ont parfois les mains liées et doivent s’accrocher à ladéchets toxiques ce sont des données clients même s'ils ne le souhaitent T .

Soyez rassurés ; il existe des moyens d'atténuer le risque d'exposition même lors de la commande de produits physiques, comme l'a noté Meltem Demirors, directeur de la stratégie de CoinShares.sur Twitter:

Sur le même sujet : Soyons des réprimandes Politique de confidentialité

MISE À JOUR (21 décembre, 16h45 UTC) :Déclaration ajoutée du porte-parole de Ledger.

MISE À JOUR (21 décembre, 18h40 UTC) :Ajout d'un devis de l'e-mail Ledger aux clients.