Ledger - REKT



Votez avec votre portefeuille.

Ledger a perdu la confiance de ses utilisateurs.

Les bases de données client recueillies en juillet sont depuis longtemps disponibles pour ceux qui en étaient prêts à payer le prix, mais elles sont désormais disponibles gratuitement.

La liste de 272 853 clients et 1 075 382 abonnés aux courriels a été publiée hier soir sur raidforums au grand désarroi des forumeurs qui se plaignent que l’OP détruise ainsi sa valeur financière.

En juillet 2020, un chercheur participant au programme Ledger Bug Bounty trouva un vecteur d'attaque potentiel. Or, il apparut que ce vecteur avait déjà été exploité.

Ledger annonça par la suite que son site Web avait été exploité et qu'un “tiers non autorisé avait eu accès à une partie de notre base de données de commerce électronique et de marketing via une clé API”.

Les informations contenues dans cette fuite de données auraient été vendues pour une somme avoisinant six chiffres. Ceci prouve la valeur de ces informations personnelles : si quelqu’un est prêt à en payer ce prix, c’est qu’il s’attend à en faire un profit.

Depuis que ces informations sont en accès libre, les utilisateurs ont signalé une augmentation des tentatives de phishing . Cette tendance va se confirmer au cours des prochains mois, et il ne serait pas surprenant d'entendre parler d'agression physique due à cette violation de données.

Dans le meilleur des cas, nous pouvons espérer que Ledger a fourni une liste de cibles pour les échangeurs de cartes SIM et les campagnes de phishing. Dans le pire des cas, on aurait à regretter une attaque physique ou un cambriolage en raison des informations personnelles qui ont été divulguées.

Ledger nous annonçait au départ que la fuite des données, comprenant le prénom, le nom, l'adresse postale et le numéro de téléphone des utilisateurs, concernait environ 9500 personnes. Nous découvrons maintenant que ce nombre était plus proche de 227 000.

Ledger a-t-il délibérément occulté la gravité de l'incident?

Nous nous sommes entretenus avec un représentant de Ledger, qui nous a transmis la déclaration suivante :

Ce problème est toujours à l’étude, mais le contenu faisant l'objet d'un dumping peut être la base de données d’e-commerce de Ledger qui a été exposée lors de la violation de la base de données en juin 2020. Cette base de données peut être utilisée par des escrocs pour des attaques de phishing via des campagnes d’e-mail et de SMS.

Notre équipe d'assistance clientèle a travaillé pour informer via Twitter nos utilisateurs et répondre à leurs questions, tout en signalant tous les tweets et toutes les publications Reddit contenant un lien vers la base de données. Nous exhortons tous nos utilisateurs à ne jamais partager leur phrase de 24 mots et vous rappelons qu’aucun membre de notre équipe ne vous demandera jamais d’informations privées.

Depuis que nous avons appris l’existence de la violation des données en juin 2020, nous avons travaillé avec une organisation de sécurité externe pour réaliser une expertise. Celle-ci a confirmé que seulement 9500 personnes avaient été impactées, et qu’elles avaient toutes été personnellement contactées par le support de Ledger. Dès que les attaques par phishing ont commencé à voir le jour, nous nous attendions à ce que davantage d'informations aient pu être divulguées et avons continué à informer tous les utilisateurs via Twitter et par courrier électronique.

Nous faisons tout ce qui est en notre pouvoir pour mettre fin à ces attaques et éviter que de telles situations se reproduisent à l’avenir. Ledger a mis en place un ensemble de mesures pour protéger nos utilisateurs contre les attaques de phishing. Nous avons mis en place une page Web partageant l'anatomie de ces attaques afin que les utilisateurs puissent éviter de tomber dans ce piège et signaler toute nouvelle attaque : https://www.ledger.com/phishing-campaigns-status

Cette situation nous désole réellement, et notre équipe travaille avec diligence pour arrêter les escrocs et restaurer la confiance au sein de la communauté. Nous avons agi depuis le début de la manière la plus claire et transparente possible sur ce sujet, et nous continuerons à être réactifs à chaque nouvel évènement au fur et à mesure que les informations deviendront disponibles. Nous continuons à analyser les données et à réaliser des mises à jour.


Cette situation montre le problème de la dépendance à l'égard de tiers pour stocker nos informations de manière sécurisée.

Au fur et à mesure que le Web 3.0 se développe, les problèmes du Web 2.0 deviennent de plus en plus évidents. La compromission forcée avec des entreprises extérieures au réseau ralentit nos progrès et met nos informations en péril.

Nous sommes contraints de confier nos données à ces entreprises, alors que nous avons pleinement conscience des risques liés au stockage centralisé. Des entreprises comme Ledger sont déchirées entre l'ancien monde et le nouveau, et sont soit incapables soit peu disposées à mettre en œuvre des technologies telles que les preuves à divulgation nulle de connaissance pour sécuriser leur base de données.

Le monde de la criminalité n'est pas le seul à lorgner ces informations. En Europe, on recense déjà des cas où les données des clients des banques suisses ont été achetées par des pouvoirs publics afin de faciliter leurs enquêtes sur la fraude fiscale.

Cette violation de données montre qu’il a été fait table rase du cadre strict imposé par le RGPD. On a au mieux ignoré, au pire menti aux clients qui ont demandé que leurs données soient effacées.

Voici ce que nous a dit un de ses clients :

Je leur ai envoyé un e-mail en mai 2020 et leur ai demandé de supprimer toutes les données qu'ils détenaient sur moi à la suite de plusieurs commandes. J'ai fait référence au RGPD dans le message. Ils m’ont répondu: "Merci de nous avoir contactés. Ce sera fait dans les plus brefs délais."

Après l’annonce des fuites, j'ai été regarder si mon adresse y était et me suis aperçu que mes informations faisaient partie de celles rendues publiques (email, adresse, téléphone ...)

Ledger aurait dû s'assurer que ces données personnelles étaient supprimées automatiquement après une période de temps préétablie.

Est-ce l'incompétence ou la malhonnêteté qui a poussé Ledger à ignorer ces requêtes ?

Ce n’est plus le sujet dorénavant - il n’y a plus de retour en arrière possible.

Il n'y a pas de remède miracle pour contrer une violation de données, la seule solution est la prévention.


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.