Чому Ledger взагалі зберіг усі ці дані клієнтів

По-перше, хороша новина, так би мовити: клієнти Ledger тепер можуть на власні очі побачити, чи була їх особиста інформація розкрита під час злому виявлено в липні.

Хтось опублікував повні списки з 1 мільйона електронних адрес і 272 000 імен, поштових адрес і номерів телефонів, що належать клієнтам французького Maker апаратних гаманців для Криптовалюта . Останній список набагато більший, ніж кількість, раніше оприлюднена Леджером (9500).

Відповідаючи на запитання про розбіжності, представник Ledger сказав: «На момент інциденту журнали стороннього додатка, який керує нашою базою даних, показали, що постраждали 9500 осіб. Одночасно ми працювали з зовнішньою організацією безпеки, щоб провести судово-медичну експертизу, яка також підтвердила 9500 осіб». В ан електронний лист, надісланий клієнтам Пізніше в понеділок Леджер сказав, що деталі списку з 272 000 «недоступні в журналах, які ми змогли проаналізувати». Клієнти, чия інформація була в цьому списку, отримають повідомлення електронною поштою протягом 24 годин, повідомили в компанії.

"Сказати, що ми щиро шкодуємо про цю ситуацію, ми дуже серйозно ставимося до Політика конфіденційності ", - сказав Леджер. tweet storm Sunday. «Уникнення подібних ситуацій є головним пріоритетом для всієї нашої компанії, і ми винесли цінні уроки з цієї ситуації». Серед інших кроків, Ledger найняв нового керівника інформаційної безпеки та ліквідував 170 фішингових сайтів після злому.

Є принаймні три сайти обміну файлами, які нагадують про золоту добу блогів MP3, де можна завантажити два списки. Я не буду публікувати посилання, але знадобилося лише кілька хвилин пошуку в Twitter, щоб знайти їх.

Якщо ви завантажуєте збірку, будь ласка, перевірте власні дані, а потім видаліть її. Якщо ви KEEP файл, пильно розглядаєте імена або пліткуєте про нього з друзями, ну, Я буду дуже розчарований.

Декілька електронних адрес у витоку даних збігаються з тими, на які надійшли фішингові електронні листи від шахраїв, які прагнули обдурити читачів CoinDesk .

як ми повідомляли в липні, ці шахраї копіювали законні Розсилки CoinDesk , додавали деякі шахрайські параграфи та посилання про роздачу Крипто та надсилали їх особам, які ніколи не підписувалися на отримання електронних листів від CoinDesk .

Технічний директор Casa Джеймсон Лопп запропоновано в листопаді що клієнти Ledger могли стати ціллю; Недільний дамп підтверджує цю теорію.

Читайте також: «Переконлива» фішингова атака націлена на користувачів апаратного гаманця Ledger

Більше зображення

Погана новина: добре, це не новина, але недільний дамп даних служить протверезним нагадуванням про те, що навіть Maker апаратних Крипто гаманців може стати приманкою конфіденційних даних. (Я вживаю термін «приманка» у значенні «цінна ціль для хакерів», а не «сайт-приманка, щоб зловити їх у пастку.")

Причина частково через маркетингові вимоги стартапу, а частково через законодавчі та нормативні вимоги.

В ан FAQ опублікованому в липні, компанія заявила, що зловмисник отримав доступ до частини її маркетингової бази даних через сторонній ключ API, який було неправильно налаштовано на веб-сайті Ledger.

Як тільки було виявлено порушення, ключ було дезактивовано, сказав Леджер. Але не встигли перешкодити пройдисвітам отримати доступ до списків і, мабуть, продати їх виконавці фішингу.

Навіщо третій стороні ключ API? The FAQ далі пояснює:

Команди електронної комерції та маркетингу Ledger використовують рішення третьої сторони (Iterable) для надсилання й аналізу транзакційних і маркетингових електронних листів клієнтам, які придбали продукти на ledger.com або підписалися на отримання наших Розсилки . … Згідно з нашою Політика Політика конфіденційності , як контролер даних, ми можемо передавати деякі ваші дані третім сторонам, таким як інфраструктура постачальників платіжних послуг (PSP), логістика та інші постачальники послуг у відповідних договірних і правових рамках.

Це охоплює електронні листи. А як щодо всіх цих поштових адрес, імен і номерів телефонів? Чому б не очистити їх після доставки товару? Назад до FAQ:

З юридичних причин ми зобов’язані зберігати деяку інформацію про транзакції, пов’язану з контактними даними наших клієнтів і даними про їх замовлення.

Відповідно до принципу обмеження зберігання, FORTH відповідно до чинного законодавства, ми намагаємося зберігати дані не довше, ніж час, необхідний для виконання таких законних і законних цілей, включаючи задоволення будь-яких юридичних, бухгалтерських, податкових або інших вимог до звітності.

Ми можемо архівувати деякі ваші персональні дані з обмеженим доступом протягом додаткового періоду часу, коли це суворо необхідно для нас для дотримання наших юридичних та/або нормативних зобов’язань щодо архівування, а також протягом відповідного терміну давності.

Після закінчення цього додаткового періоду ваші особисті дані, що залишилися, буде назавжди стерто або анонімно з наших систем. Якщо ви придбали в нас продукт або послугу, ми можемо зберігати деякі транзакційні дані, додані до ваших контактних даних, для дотримання наших юридичних, податкових або бухгалтерських зобов’язань протягом максимального 10-річного періоду, FORTH чинним законодавством Франції, а також для того, щоб дозволити нам керувати своїми правами (наприклад, заявляти наші претензії в судах) протягом застосовних французьких законів про позовну давність.

Нам також потрібно зберігати деякі ваші персональні дані, які містяться в цій базі даних, щоб ми могли відповісти на ваші запитання, опрацювати потенційні претензії та зберегти докази для кримінального розслідування.

Іншими словами, іноді у компаній зв’язані руки, і їм доводиться триматися токсичні відходи це дані клієнтів, навіть якщо вони цього T хочуть.

Наберися серця; є способи пом’якшити ризик впливу навіть під час замовлення фізичних продуктів, як зазначив головний стратегічний директор CoinShares Мелтем Демірорс на Twitter:

Читайте також: Давайте будемо лаяти Політика конфіденційності

ОНОВЛЕННЯ (21 грудня, 16:45 UTC): Додано заяву представника Ledger.

ОНОВЛЕННЯ (21 грудня, 18:40 UTC): Додано пропозицію з електронного листа Ledger для клієнтів.