Perché Ledger ha conservato tutti quei dati dei clienti in primo luogo

Innanzitutto, la buona notizia, per così dire: i clienti Ledger possono ora vedere in prima persona se le loro informazioni personali sono state esposte durante l'attacco informatico.scoperto a luglio.

Qualcuno ha pubblicato gli elenchi completi di 1 milione di indirizzi e-mail e 272.000 nomi, indirizzi postali e numeri di telefono appartenenti ai clienti del Maker francese di portafogli hardware Criptovaluta . Quest'ultimo elenco è molto più grande del numero precedentemente divulgato da Ledger (9.500).

Interrogato sulla discrepanza, un portavoce di Ledger ha affermato: "Al momento dell'incidente, i registri di un'applicazione di terze parti che gestisce il nostro database mostravano che erano state colpite 9.500 persone. Contemporaneamente, stavamo lavorando con un'organizzazione di sicurezza esterna per condurre una revisione forense, che ha confermato anche 9.500 persone". In une-mail inviata ai clientipiù tardi lunedì, Ledger ha affermato che i dettagli nell'elenco di 272.000 "non sono disponibili nei registri che siamo stati in grado di analizzare". I clienti le cui informazioni erano in quell'elenco saranno avvisati tramite e-mail entro 24 ore, ha affermato la società.

"È un eufemismo dire che ci rammarichiamo sinceramente di questa situazione. Prendiamo la Privacy estremamente seriamente", ha affermato Ledger in un tempesta di tweet domenica"Evitare situazioni come questa è una priorità assoluta per tutta la nostra azienda e abbiamo imparato lezioni preziose da questa situazione". Tra le altre misure, Ledger ha assunto un nuovo responsabile della sicurezza informatica e ha rimosso 170 siti di phishing dalla violazione, ha affermato.

Ci sono almeno tre siti di file sharing, che ricordano l'età d'oro dei blog MP3, dove puoi scaricare le due liste. Non pubblicherò i link, ma ci sono voluti solo pochi minuti di ricerca su Twitter per trovarli.

Se scarichi il tesoro, controlla i tuoi dati, quindi eliminalo. Se KEEP il file, guardi a bocca aperta i nomi o ne parli con gli amici, beh, sarò molto deluso.

Molti degli indirizzi email individuati nella fuga di dati corrispondono a quelli che hanno ricevuto email di phishing da truffatori che cercavano di truffare i lettori CoinDesk .

COME abbiamo segnalato a luglio, questi truffatori copiavano le Newsletter legittime CoinDesk , aggiungendo alcuni paragrafi e link fraudolenti su un omaggio Cripto e inviandoli a persone che non si erano mai iscritte per ricevere le email CoinDesk .

CTO di Casa Jameson Loppsuggerito a novembreche i clienti Ledger potrebbero essere stati presi di mira; i dati diffusi domenica supportano questa teoria.

Continua a leggere: Attacco di phishing "convincente" prende di mira gli utenti di portafogli hardware Ledger

Quadro più ampio

La cattiva notizia: ok, non è una novità, ma la fuga di dati di domenica serve come un serio promemoria del fatto che persino un Maker di portafogli Cripto hardware può trasformarsi in un honeypot di dati sensibili. (Sto usando il termine "honeypot" nel senso di "un bersaglio prezioso per gli hacker", non "un sito esca per intrappolarli.")

Il motivo è dovuto in parte alle esigenze di marketing di una startup e in parte ai requisiti legali e normativi.

In unDomande frequentipubblicato a luglio, la società ha affermato che un aggressore aveva avuto accesso a parte del suo database di marketing tramite una chiave API di terze parti che era stata configurata in modo errato sul sito Web di Ledger.

Non appena è stata scoperta la falla, la chiave è stata disattivata, ha detto Ledger. Ma non in tempo per impedire ai furfanti di accedere alle liste e, a quanto pare, di venderle aartisti del phishing.

Perché una terza parte dovrebbe avere una chiave API?Domande frequenticontinua spiegando:

I team di e-commerce e marketing di Ledger utilizzano una soluzione di terze parti (Iterable) per inviare e analizzare e-mail transazionali e di marketing ai clienti che hanno acquistato prodotti su ledger.com o si sono iscritti per ricevere le nostre Newsletter . … In conformità con la nostra Politiche Privacy , in qualità di titolare del trattamento dei dati, potremmo trasmettere alcuni dei tuoi dati a terze parti quali fornitori di servizi di pagamento (PSP), infrastruttura, logistica e altri fornitori di servizi, entro i quadri contrattuali e legali applicabili.

Questo riguarda le e-mail. E tutti quegli indirizzi postali, nomi e numeri di telefono? Perché non eliminarli dopo aver spedito la merce? Torniamo aDomande frequenti:

Per motivi legali siamo obbligati a conservare alcune informazioni transazionali relative ai dati di contatto dei nostri clienti e ai dati dei loro ordini.

In conformità con il principio di limitazione della conservazione FORTH dalle leggi applicabili, ci impegniamo a conservare i dati per un periodo di tempo non superiore a quello necessario per ottemperare a tali scopi legittimi e legali, tra cui l'adempimento di eventuali requisiti di rendicontazione di conformità legali, contabili, fiscali o di altro tipo.

Potremmo archiviare alcuni dei tuoi dati personali, con accesso limitato, per un ulteriore periodo di tempo quando è strettamente necessario per ottemperare ai nostri obblighi legali e/o normativi di archiviazione e per i periodi di prescrizione applicabili.

Al termine di questo periodo aggiuntivo, i tuoi dati personali rimanenti saranno cancellati in modo permanente o resi anonimi dai nostri sistemi. Se hai acquistato un prodotto o un servizio da noi, potremmo conservare alcuni dati transazionali allegati ai tuoi Dati di contatto per ottemperare ai nostri obblighi legali, fiscali o contabili per un periodo massimo di 10 anni FORTH dalle leggi francesi applicabili, nonché per consentirci di gestire i nostri diritti (ad esempio per far valere i nostri reclami in tribunale) durante gli statuti di prescrizione francesi applicabili.

Dobbiamo inoltre conservare alcuni dei tuoi dati personali contenuti in questo database, per poter rispondere alle tue domande, elaborare potenziali reclami e conservare le prove per le indagini penali.

In altre parole, a volte le aziende hanno le mani legate e devono aggrapparsi alrifiuti tossici si tratta di dati dei clienti anche se T lo desiderano.

Coraggio, ci sono modi per mitigare il rischio di esposizione anche quando si ordinano prodotti fisici, come ha osservato Meltem Demirors, Chief Strategy Officer di CoinShares.su Twitter:

Continua a leggere: Diventiamo dei sgridatori Privacy

AGGIORNAMENTO (21 dicembre, 16:45 UTC):Aggiunta dichiarazione del portavoce di Ledger.

AGGIORNAMENTO (21 dicembre, 18:40 UTC):Aggiunta citazione dall'e-mail Ledger ai clienti.