Почему Ledger изначально хранил все эти данные о клиентах

Сначала, если можно так выразиться, хорошие новости: клиенты Ledger теперь могут лично убедиться в том, была ли их личная информация раскрыта в результате взлома.обнаружен в июле.

Кто-то опубликовал полные списки из 1 миллиона адресов электронной почты и 272 000 имен, почтовых адресов и телефонных номеров, принадлежащих клиентам французского Maker аппаратных Криптовалюта кошельков. Последний список намного больше, чем число, ранее раскрытое Ledger (9500).

На вопрос о несоответствии представитель Ledger сказал: «Во время инцидента журналы стороннего приложения, управляющего нашей базой данных, показали, что пострадали 9500 человек. Одновременно мы работали с внешней организацией по безопасности для проведения судебно-медицинской экспертизы, которая также подтвердила 9500 человек».электронное письмо, отправленное клиентамПозже в понедельник Ledger заявила, что подробности в списке из 272 000 «отсутствуют в журналах, которые мы смогли проанализировать». Клиенты, чья информация была в этом списке, будут уведомлены по электронной почте в течение 24 часов, заявила компания.

«Это огромное преуменьшение, если сказать, что мы искренне сожалеем об этой ситуации. Мы относимся к Политика конфиденциальности крайне серьезно», — сказал Леджер в твит шторм воскресенье. «Избегание подобных ситуаций является главным приоритетом для всей нашей компании, и мы извлекли ценные уроки из этой ситуации». Среди прочих мер Ledger нанял нового директора по информационной безопасности и удалил 170 фишинговых сайтов с момента взлома, говорится в сообщении.

Есть как минимум три сайта обмена файлами, напоминающие о золотом веке MP3-блогов, где вы можете скачать оба списка. Я не буду публиковать ссылки, но мне потребовалось всего несколько минут поиска в Twitter, чтобы найти их.

Если вы скачаете клад, пожалуйста, проверьте свои собственные данные, затем удалите его. Если вы KEEP файл, поглазеете на имена или посплетничаете об этом с друзьями, ну, Я буду очень разочарован..

Некоторые из адресов электронной почты, обнаруженных в утечке данных, совпадают с адресами, на которые приходили фишинговые письма от мошенников, пытавшихся обмануть читателей CoinDesk .

Как мы сообщили в июлеЭти мошенники копировали законные Рассылка CoinDesk , добавляя в них мошеннические абзацы и ссылки о раздаче Криптo , и отправляли их лицам, которые изначально не подписывались на получение электронных писем от CoinDesk .

Технический директор Casa Джеймсон Лопппредложено в ноябречто целью могли стать клиенты Ledger; воскресный сброс данных подтверждает эту теорию.

Читать дальше: «Убедительная» фишинговая атака нацелена на пользователей аппаратного кошелька Ledger

Более общая картина

Плохие новости: ладно, это не новости, но сброс данных в воскресенье служит отрезвляющим напоминанием о том, что даже Maker аппаратных Криптo может стать приманкой для конфиденциальных данных. (Я использую термин «приманка» в смысле «ценная цель для хакеров», а не «приманка для их ловушки.")

Причина отчасти кроется в маркетинговых императивах стартапа, а отчасти — в правовых и нормативных требованиях.

ВЧасто задаваемые вопросыВ опубликованном в июле сообщении компания заявила, что злоумышленник получил доступ к части ее маркетинговой базы данных через сторонний ключ API, который был неправильно настроен на веб-сайте Ledger.

Как только взлом был обнаружен, ключ был деактивирован, сказал Леджер. Но не успели, чтобы помешать мошенникам получить доступ к спискам и, по-видимому, продать ихфишинговые мастера.

Зачем третьей стороне нужен ключ API?Часто задаваемые вопросыпродолжает объяснять:

Команды электронной коммерции и маркетинга Ledger используют стороннее решение (Iterable) для отправки и анализа транзакционных и маркетинговых писем клиентам, которые приобрели продукты на ledger.com или подписались на нашу Рассылка . … В соответствии с нашей Политика Политика конфиденциальности , как контролер данных, мы можем передавать некоторые ваши данные третьим лицам, таким как поставщики платежных услуг (PSP), инфраструктура, логистика и другие поставщики услуг, в рамках применимых договорных и правовых рамок.

Это касается писем. А как насчет всех этих почтовых адресов, имен и телефонных номеров? Почему бы не удалить их после отправки товара? Назад кЧасто задаваемые вопросы:

По юридическим причинам мы обязаны хранить некоторую транзакционную информацию, касающуюся контактных данных наших клиентов и данных об их заказах.

В соответствии с принципом ограничения хранения, FORTH действующим законодательством, мы стремимся хранить данные не дольше, чем это необходимо для достижения законных и правовых целей, включая выполнение любых юридических, бухгалтерских, налоговых или иных требований к отчетности по соблюдению нормативных требований.

Мы можем архивировать некоторые ваши персональные данные с ограниченным доступом на дополнительный период времени, когда это строго необходимо для соблюдения наших юридических и/или нормативных обязательств по архивированию, а также в течение применимых сроков исковой давности.

По истечении этого дополнительного периода ваши оставшиеся персональные данные будут навсегда стерты или анонимизированы из наших систем. Если вы приобрели у нас продукт или услугу, мы можем сохранить некоторые транзакционные данные, прикрепленные к вашим Контактным данным, для соблюдения наших юридических, налоговых или бухгалтерских обязательств в течение максимального 10-летнего периода, FORTH применимым французским законодательством, а также для того, чтобы иметь возможность управлять нашими правами (например, заявлять наши иски в судах) в течение применимых французских сроков исковой давности.

Нам также необходимо сохранить некоторые ваши персональные данные, содержащиеся в этой базе данных, чтобы мы могли ответить на ваши вопросы, обработать потенциальные претензии и сохранить доказательства для уголовного расследования.

Другими словами, иногда руки компаний связаны, и им приходится держаться затоксичные отходы это данные клиентов, даже если они этого T хотят.

Не волнуйтесь: существуют способы снизить риск заражения даже при заказе физических продуктов, как отметила директор по стратегии CoinShares Мельтем Демирорс.в Твиттере:

Читать дальше: Давайте будем ругать за нарушение Политика конфиденциальности

ОБНОВЛЕНИЕ (21 декабря, 16:45 UTC):Добавлено заявление представителя Ledger.

ОБНОВЛЕНИЕ (21 декабря, 18:40 UTC):Добавлена цитата из письма Ledger клиентам.