Une base de données de Ledger lâchée dans la nature

La base de données marketing de Ledger vient d'être partagée sur un forum public de discussion. Cette base de données colossale contient plus d'1 million de mails et surtout 273 000 numéros de téléphone, adresses physiques, noms et prénoms, de clients de Ledger. Il s'agit de la base de données récupérée par des hackers en juin dernier.

Voici la publication en question sur un forum dédié au hacking :

Hack Ledger

Le simple fait que cette base de données soit maintenant accessible à tous et sans la moindre contrainte est catastrophique, du pain béni pour des individus malintentionnés.

Selon la firme de cybersécurité Under the Breach, cette fuite représente un risque majeur pour toutes les personnes concernées, et c'est peu dire.

« Les personnes qui ont acheté un portefeuille Ledger ont tendance à avoir une valeur nette élevée en cryptomonnaies et seront désormais soumises à la fois à un cyber-harcèlement et à un harcèlement physique à plus grande échelle qu'auparavant, » souligne l'entreprise.

Maintenant que toutes les informations personnelles des clients de Ledger ont été divulguées, les détenteurs de portefeuilles Ledger doivent se préparer à recevoir des dizaines de SMS et de mails frauduleux, voire pire.

Désormais, n'importe qui peut savoir qui détient un portefeuille Ledger, en plus de connaître son adresse personnelle et son numéro de téléphone. De précieuses données personnelles qui pourraient mener à un danger physique pour les clients de Ledger, loin du mail de phishing. Espérons cependant que la situation ne s'aggrave pas jusque-là.

Pour savoir si vos données ont été compromises, rendez-vous sur le site Have I Been Pwned et renseignez-y l'adresse email utilisée pour commander votre portefeuille Ledger. Si le message « Oh no — pwned! » s'affiche, vos informations personnelles ont été compromises (à minima votre adresse mail).

Même si votre portefeuille en lui-même est hors de danger, vous devez vous préparer à des attaques à votre encontre, certainement par mail et par SMS. D'ici quelque temps, une vague d'attaques sans précédent devrait commencer, des individus tentant de vous tromper avec de faux mails et SMS, et se faisant passer par Ledger.

⚠️ Ne cliquez pas sur les liens présents dans les mails et les SMS que vous recevez, et ne donnez en aucun cas votre phrase de 24 mots, à qui que ce soit. Ledger ne vous demandera jamais votre phrase de sécurité.

👉 Si vous avez le moindre doute sur un message que vous recevez, n'hésitez pas à contacter de vous-même le support de Ledger.

Ledger déçoit la crypto-sphère

Bien que Ledger ait rapidement reconnu que sa base de données avait été compromise à la suite de ce piratage, l'entreprise affirmait que seuls 9 500 clients avaient été touchés par une fuite de leurs informations personnelles. La communication de Legder sur la question a donc été complètement hasardeuse, l'entreprise n'ayant pas indiqué le véritable chiffre à ses clients.

Ont-ils délibérément caché l'ampleur de la catastrophe en indiquant que seuls 9 500 clients étaient touchés ? Ou apprennent-ils l'ampleur de cette attaque en même temps que nous ? Pour le moment, Ledger n'a pas encore communiqué sur cette question.

Quoi qu'il en soit, la colère de la crypto-sphère gronde envers Ledger, l'entreprise ayant - expressément ou non - allégé le nombre de personnes touchées par cette attaque. De plus, Ledger affirmait que chaque client concerné par cet incident serait prévenu par mail, promesse qu'elle n'a pas tenue.

Ledger déçoit, et les clients lésés ne comptent pas en rester là. Sur Twitter, certains allèguent qu'ils seraient prêts à intenter une action en justice contre l'entreprise :

« Si des avocats veulent engager une action collective, je suis sûr que beaucoup d'entre nous se rallieront à cette idée. La situation vient d'empirer d'un facteur 10 000 maintenant. »

En effet, la situation est plus que jamais gravissime, mettant en péril tous les clients de Ledger. À l'heure de l'écriture de ces lignes, Ledger peine à convaincre la crypto-communauté, les mesures prises pour protéger ses clients ne sont pas suffisantes et le fait d'avoir allégé - volontairement ou non - le bilan dans sa communication est regrettable.

Restez donc d'une extrême prudence en ce qui concerne les mails et les SMS que vous recevez. Tout message soi-disant en provenance de Ledger est très certainement faux, l'entreprise ne vous demandera jamais de renseigner votre phrase de récupération où que ce soit.

 

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Clément Wardzala

twitter-soothsayerdatatwitter-soothsayerdata

Rédacteur en chef de Cryptoast, je découvre le Bitcoin et la technologie blockchain en 2017. Depuis, je m'efforce de partager un contenu qualitatif pour que le secteur se démocratise auprès de tous.
Tous les articles de Clément Wardzala.

guest
1 Commentaire
Inline Feedbacks
View all comments
David

Ledger, comme beaucoup de e-commerces il faut être clair, n'ont pas pris la mesure de l'importance de la protection des données. A l'heure du RGPD c'est la double faute. Et vu leur activité ça va faire très très mal à leur image. Leur communication est vraiment pas terrible c'est sûr et à mon avis le seul moyen d'éteindre ce feu c'est d'indemniser leurs utilisateurs ce qui au dire de leur PDG couterait trop cher (Probablement qu'ils devraient se trouver un nouveau PDG pour commencer). C'est évident lorsqu'on a laissé trainer l'ensemble de ses données utilisateurs sur un serveur depuis des… Read more »