通过利纳Kmieliauskas
总部位于法国的主要加密硬件钱包制造商Ledger证实,Shopify黑客于2020年4月和2020年6月获得Ledger客户的个人信息。(UTC时间14:01更新:全文更新。)

“与法医公司Orange Cyber​​defense一起,我们能够确定它影响了大约292,000个客户。虽然数据库与上次攻击所暴露的数据库相似,但有93%的相似性,但大约有20,000个新客户记录,包括电子邮件,姓名,邮政地址,产品(s)订购且电话号码包含在此违规行为中,”该公司表示,并补充说,如果您是在2020年6月底之后购买了Ledger产品,或者如果您在Ledger.com之外购买了产品,则不会泄露您的数据在这些事件中。

该公司表示:“ 2020年12月23日,我们的电子商务服务提供商Shopify收到了有关商户数据的事件通知,该事件涉及其支持团队的流氓成员获得了包括Ledger在内的客户交易记录。” 1月13日,完成了Orange Cyber​​defense的取证工作。

根据他们的说法,Shopify声称这与2020年9月报告的事件有关,该事件涉及200多个商人,但是直到2020年12月21日,Shopify才发现Ledger也成为这次攻击的目标。

去年5月,莱杰(Ledger)否认声称其数据库已通过Shopify漏洞受到破坏。他们当时说:“我们没有找到任何证据证明这一说法是合法的。”

同时,该公司今天表示,他们将“很快发布一种技术解决方案,该技术解决方案将删除24个单词,这是我们硬件钱包安全性的唯一支柱,并将为个人客户的保险资金打开大门。”

同时,他们敦促“切勿与任何人共享您的[种子] 24个单词”。

另外,该公司表示,他们于12月26日通知了法国数据保护局。

“我们继续与Shopify和检察官合作处理此案;由联邦调查局和皇家骑警领导的调查已经在进行中。莱杰还向法国检察官报告了事件,并向流氓特工提出了投诉。”他们说,并补充说,他们还雇用了额外的私人调查能力。

此外,该公司宣布了初始BTC 10赏金储备(346,173美元),用于提供新信息以帮助起诉攻击者。

至于接下来的步骤,莱杰表示,他们正在“改变我们处理这些数据的方式,以超越GDPR原则”:

“我们的目标是在产品交付三个月后,将您的电子商务订单信息(例如姓名,地址,电话号码)放在隔离的环境中。”
“我们将从发送给您的订单确认电子邮件中删除姓名,地址和电话号码,这样该数据就不会通过我们的电子商务电子邮件提供商。”
“我们将实施一个消息传递模型,在此模型中,仅通过Ledger Live传达主动的重要安全和技术信息。”
而且,他们承诺重新评估所有供应商和合作伙伴。

__
本文由《中币(zb)研究院》翻译,www.zb.center/www.zb.com
App下载地址:www.zb.center/download/