Ledger va faire face à des poursuites judiciaires aux États-Unis suite à la fuite de données de 2020
Une plainte prenant la forme d’une action collective a été déposée contre Ledger et Shopify. Des centaines de milliers de clients de Ledger ont vu leurs données personnelles exposées sur un forum public en décembre 2020.
Action en justice contre Ledger
Le cabinet d’avocats Roche Freedman, a déposé une action collective auprès du tribunal du district nord de Californie. Le cabinet est connu pour ses recours collectifs contre des sociétés de cryptomonnaies telles que Binance, Tron et plus récemment Nexo.
La plainte initiale allègue que Ledger et Shopify (une plateforme de e-commerce, partenaire de Ledger) ont « autorisé par négligence, ignoré par imprudence, puis cherché intentionnellement à dissimuler » la violation des données personnelles de plus de 270 000 clients.
Nous pouvons lire dans la plainte :
« Pour les hackers, la liste des clients de Ledger est de l’or. En utilisant cette liste, les pirates peuvent manipuler les détenteurs de hardware wallet pour voler leur fonds. Les enjeux de la sécurité des cryptomonnaies sont donc énormes. »
La question centrale du procès sera d’identifier ce que savait Ledger et Shopify et à quelle vitesse ils ont communiqué ces informations aux utilisateurs. Les dommages et intérêts accordés aux plaignants seront déterminés lors du procès, si l’action en justice va jusqu’à son terme.
? À lire sur le même sujet : Les informations personnelles de 273 000 clients de Ledger divulguées sur un forum de discussion
Retour sur la fuite et réponse de Ledger
En 2020, Ledger s’était donc fait subtiliser sa base de données client. Une base de données contenant les informations personnelles de 273 000 clients et les e-mails d’un million de prospects ont été publiés sur RaidForums, un site connu pour l’achat, la vente et le partage d’informations piratées.
Ledger a découvert que la brèche provenait d’un ou plusieurs « salariés malhonnêtes » de l’équipe de support de Shopify. Ainsi, ces personnes ont utilisé leur accès API pour obtenir l’enregistrement des ventes et les informations des clients.
Depuis cette violation, l’entreprise française a mis à jour sa politique de protection des données à caractère personnel. Ledger a également décidé de « supprimer complètement » les données personnelles de ses clients sous 3 mois et a exhorté les fournisseurs tiers à conserver ces données pendant une période aussi courte que nécessaire.
Pour rappel, ne cliquez pas sur les liens présents dans les mails et les SMS que vous recevez même si la demande vous semble venir de Ledger, et ne donnez en aucun cas votre phrase de 24 mots, à qui que ce soit. Ledger ne vous demandera jamais votre phrase de sécurité.
? À lire sur le même sujet : Que s'est-il passé chez Ledger ? Retour sur les fuites de données et leurs conséquences
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌