Por que o Ledger manteve todos os dados do cliente em primeiro lugar

Primeiro, as boas notícias, por assim dizer: os clientes do Ledger agora podem ver em primeira mão se suas informações pessoais foram expostas no hackdescoberto em julho.

Alguém postou as listas completas de 1 milhão de endereços de e-mail e 272.000 nomes, endereços de correspondência e números de telefone pertencentes a clientes do Maker francês de carteiras de Criptomoeda de hardware. A última lista é muito maior do que o número divulgado anteriormente pelo Ledger (9.500).

Questionado sobre a discrepância, um porta-voz do Ledger disse: "No momento do incidente, os logs de um aplicativo de terceiros que gerenciava nosso banco de dados mostravam que 9.500 indivíduos foram impactados. Simultaneamente, estávamos trabalhando com uma organização de segurança externa para conduzir uma revisão forense, que também confirmou 9.500 pessoas." Em ume-mail enviado aos clientesmais tarde na segunda-feira, Ledger disse que os detalhes na lista de 272.000 "não estão disponíveis nos registros que conseguimos analisar". Os clientes cujas informações estavam nessa lista serão notificados por e-mail dentro de 24 horas, disse a empresa.

“É um eufemismo enorme dizer que lamentamos sinceramente esta situação. Levamos a Política de Privacidade extremamente a sério”, disse Ledger em um tempestade de tweets domingo. “Evitar situações como essa é uma prioridade máxima para toda a nossa empresa, e aprendemos lições valiosas com essa situação.” Entre outras medidas, a Ledger contratou um novo diretor de segurança da informação e derrubou 170 sites de phishing desde a violação, disse.

Há pelo menos três sites de compartilhamento de arquivos, que lembram a era de ouro dos blogs de MP3, onde você pode baixar as duas listas. Não postarei os links, mas levei apenas alguns minutos pesquisando no Twitter para encontrá-los.

Se você baixar o trove, por favor, verifique seus próprios detalhes e então delete-o. Se você KEEP o arquivo, ficar boquiaberto com os nomes ou fofocar com amigos sobre ele, bem, Ficarei muito decepcionado.

Vários endereços de e-mail no vazamento de dados correspondem àqueles que receberam e-mails de phishing de golpistas que tentavam fraudar leitores do CoinDesk .

Como nós relatamos em julho, esses golpistas estavam copiando Newsletters legítimos da CoinDesk , adicionando alguns parágrafos e links fraudulentos sobre uma oferta de Cripto e enviando-os para indivíduos que nunca se inscreveram para receber e-mails da CoinDesk .

Casa CTO Jameson Loppsugerido em novembroque os clientes da Ledger podem ter sido alvos; o vazamento de dados de domingo reforça essa teoria.

Leia Mais: Ataque de phishing ‘convincente’ tem como alvo usuários da carteira de hardware Ledger

Imagem maior

As más notícias: OK, não é novidade, mas o vazamento de dados de domingo serve como um lembrete sério de que até mesmo um Maker de carteiras Cripto de hardware pode se tornar um honeypot de dados confidenciais. (Estou usando o termo "honeypot" no sentido de "um alvo valioso para hackers", não "um local de chamariz para capturá-los.")

O motivo se deve, em parte, aos imperativos de marketing de uma startup e, em parte, aos requisitos legais e regulatórios.

Em umPerguntas frequentespublicado em julho, a empresa disse que um invasor acessou parte de seu banco de dados de marketing por meio de uma chave de API de terceiros que havia sido configurada incorretamente no site da Ledger.

Assim que a violação foi descoberta, a chave foi desativada, disse Ledger. Mas não a tempo de impedir que os canalhas acessassem as listas e, aparentemente, as vendessem paraartistas de phishing.

Por que um terceiro teria uma chave de API? OPerguntas frequentescontinua explicando:

As equipes de marketing e e-commerce da Ledger usam uma solução de terceiros (Iterable) para enviar e analisar e-mails transacionais e de marketing para clientes que compraram produtos no ledger.com ou se inscreveram para receber nossos Newsletters . … De acordo com nossa Política de Política de Privacidade , como controlador de dados, podemos transmitir alguns de seus dados a terceiros, como provedores de serviços de pagamento (PSPs), infraestrutura, logística e outros provedores de serviços, dentro de estruturas contratuais e legais aplicáveis.

Isso cobre os e-mails. E todos aqueles endereços de correspondência, nomes e números de telefone? Por que não purgar isso depois de enviar as mercadorias? De volta aoPerguntas frequentes:

Por razões legais, somos obrigados a armazenar algumas informações transacionais relacionadas aos detalhes de contato de nossos clientes e seus dados de pedidos.

De acordo com o princípio de limitação de armazenamento FORTH pelas leis aplicáveis, nós nos esforçamos para reter dados por um período não superior ao necessário para cumprir tais propósitos legítimos e legais, incluindo a satisfação de quaisquer requisitos legais, contábeis, fiscais ou outros requisitos de relatórios de conformidade.

Podemos arquivar alguns dos seus dados pessoais, com acesso restrito, por um período de tempo adicional quando for estritamente necessário para cumprirmos com nossas obrigações legais e/ou regulatórias de arquivamento e pelos prazos de prescrição aplicáveis.

No final deste período adicional, seus dados pessoais restantes serão permanentemente apagados ou anonimizados de nossos sistemas. Se você comprou um produto ou serviço de nós, podemos reter alguns dados transacionais anexados aos seus Detalhes de Contato para cumprir com nossas obrigações legais, fiscais ou contábeis por um período máximo de 10 anos FORTH pelas leis francesas aplicáveis, bem como para nos permitir gerenciar nossos direitos (por exemplo, para afirmar nossas reivindicações em Tribunais) durante os estatutos de limitações franceses aplicáveis.

Também precisamos reter alguns dos seus dados pessoais contidos neste banco de dados para que possamos responder às suas perguntas, processar possíveis reivindicações e reter evidências para a investigação criminal.

Por outras palavras, por vezes as mãos das empresas ficam atadas e têm de se agarrar àlixo tóxico esses são dados do cliente, mesmo que ele T queira.

Anime-se; há maneiras de mitigar o risco de exposição, mesmo ao encomendar produtos físicos, como observou a diretora de estratégia da CoinShares, Meltem Demirorsno Twitter:

Leia Mais: Vamos ser repreensores da Política de Privacidade

ATUALIZAÇÃO (21 de dezembro, 16:45 UTC):Declaração adicionada do porta-voz da Ledger.

ATUALIZAÇÃO (21 de dezembro, 18:40 UTC):Adicionada cotação do e-mail do Ledger para clientes.