Ein Hack kann einen anderen verbergen – Die Missgeschicke von Ledger – und insbesondere seiner Kunden – gehen unvermindert weiter! Es scheint, dass die Kundendatenbank des berühmten Hardware-Wallet-Herstellers Nano ein zweites Mal gestohlen wurde, diesmal von böswilligen Shopify-Schauspielern. Erklärungen.
Von Shopify-Mitarbeitern organisierte Datenverletzung
Es war der Skandal zum Jahresende in der Kryptosphäre: Ledger, Hersteller des Nano S und X, hatte das Durchsickern seiner Kundendaten deutlich unterschätzt. Mehr als 272.000 der letzteren haben daher gesehen, dass sehr sensible personenbezogene Daten gestohlen und dann im Internet weitergegeben wurden, wie z. B. Nachname, Vorname, Postanschrift oder sogar ihre Telefonnummer.
In einer neuen Notiz, die am 13. Januar in ihrem Blog veröffentlicht wurde, gaben die Teams von Ledger jedoch bekannt, dass der E-Commerce-Dienstleister Shopify sie am 23. Dezember 2020 kontaktiert hatte. Berichten zufolge gab das Unternehmen bekannt, dass zwei seiner Agenten Aufzeichnungen erhalten haben. die Transaktionen ihrer Kunden und dass sie sie im April und Juni 2020 illegal aus Shopify exportiert haben.
Laut dem von Ledger angeforderten Cybersecurity-Unternehmen Orange Cyberdefense würde dieses Leck diesmal 292.000 Kunden betreffen!
Dieselbe Datenbank… mehr oder weniger?
Die von uns kontaktierten Ledger-Teams versuchten uns dabei zu helfen, den folgenden Punkt klarer zu erkennen: Sind diesmal genau dieselben Daten wie die im Dezember zur Verfügung gestellten Daten durchgesickert?
“Wir sprechen von zwei verschiedenen Datenlecks (…) Der erste betraf den Zugriff auf unsere Datenbank aufgrund eines Fehlers in dem Modul, mit dem wir E-Mails an unseren Kundenstamm senden. (…) Der zweite Grund ist zwei böswilligen Shopify-Agenten zu verdanken, die jetzt strafrechtlich verfolgt und inhaftiert werden. Sie haben im April und Juni auf dieselbe Datenbank zugegriffen, von der wir glauben, dass sie im Dezember durchgesickert ist, aber mit 20.000 [zusätzlichen] Clients angereichert wurde (…). “”
Benoît Pellevoizin, Kommunikationsmanager bei Ledger, bei JDC
Auf der Seite von Donjon Ledger, dem spezialisierten Cybersicherheitszweig von Ledger, ist es so ziemlich die gleiche Geschichte. Dieses zweite Leck kann daher „neue“ personenbezogene Daten enthalten (insbesondere mehrere unterschiedliche Postanschriften für einen einzelnen Kunden), auch für Kunden, die bereits vom ersten Leck betroffen sind: in der Tat die Hacker, die das letztere Leck ausgenutzt haben ‘hätte nicht die gesamte Datenbank im Dezember veröffentlicht.
„Die Person, die alle Daten im Internet veröffentlicht hat, hat nur eine Postanschrift per E-Mail in ihren Speicherauszug gestellt. Er besitzt jedoch (möglicherweise nicht ihn, sondern zumindest den Hacker, der den Inhalt der Datenbank wiederhergestellt hat) alle Bestelladressen [der von der Datenverletzung betroffenen Kunden]. “”
Jean-Baptiste Bédrune, Forschungsleiter des Ledger Donjon am JDC
Selbst diejenigen, die zwischen zwei Bestellungen bei Ledger gewechselt sind, wären dem Diebstahl ihrer neuen Privatadresse ausgesetzt, solange ihre letzte Bestellung vor April oder Juni 2020 erfolgte. Trotz des offensichtlichen Sicherheitsschadens hat Ledger Nr ‘hat derzeit keine Entschädigung für Kunden, die Opfer dieser Datenschutzverletzungen sind.