Piratage de Ledger : les données d'un million de clients subtilisées
Les données personnelles d'un million de clients de Ledger ont été dérobées par l'exploitation d'une faille de sa base de données marketing.
Un million de clients concernés
Selon le communiqué officiel de la société, Ledger s'est rendu compte de la présence d'une vulnérabilité le 14 juillet dernier, lorsqu'un chercheur en cyber-sécurité l'en a informé via son programme de bug bounty. Après avoir reçu le rapport du chercheur, la société affirme avoir immédiatement réparé la brèche et avoir lancé une enquête interne.
Malheureusement, Ledger a rapidement découvert que la brèche de sécurité avait été exploitée le 25 juin 2020 par un tiers, lequel est parvenu à accéder à la base de données marketing de la société, utilisée pour envoyer des confirmations de commande et des courriels promotionnels.
L'ampleur de l'attaque est considérable. En effet, l'attaquant a dérobé les adresses mail d'approximativement un million de clients. Pour 9 500 d'entre eux, des informations telles que le nom, le prénom, l'adresse postale, le numéro de téléphone ou les produits commandés ont également été subtilisées.
La société précise que les informations de paiement, les mots de passe et les fonds de ses clients n'ont pas été affectés. Ainsi, la brèche ne concerne pas les portefeuilles matériels de Ledger. Dans son communiqué, Ledger a déclaré qu' « il regrettait sincèrement cet incident », en ajoutant :
« Nous prenons la protection de la vie privée très au sérieux, nous avons découvert ce problème grâce à notre propre programme de bug bounty, nous l'avons corrigé immédiatement. Mais indépendamment de tout ce que nous avons fait pour éviter et corriger cette situation, nous nous excusons sincèrement pour les désagréments que cette situation est susceptible de vous causer. »
Sachez que si vous avez reçu un mail de Ledger vous informant de la situation, cela signifie que vous êtes concernés par cette fuite de données.
Le véritable risque réside dans les attaques de type phishing (hameçonnage). Ainsi, si vous recevez un mail qui semble provenir de Ledger et qui vous demande la moindre information concernant votre portefeuille, considérez-le comme une tentative d'escroquerie et n'y répondez pas.
En effet, Ledger rappelle qu'il ne vous demandera jamais les 24 mots de votre phrase de récupération.
Si vous avez le moindre doute, n'hésitez pas à contacter de vous-même le support de Ledger.
Quelles mesures prend Ledger ?
Deux jours après que l'expert en sécurité informatique ait exposé la vulnérabilité, Ledger a déposé un rapport auprès de l'autorité française de protection des données, la CNIL. Le 21 juillet, Ledger s'est associé à Orange Cyberdefense (OCD) pour évaluer les dommages potentiels et identifier plus précisément les violations.
Aujourd'hui, l'entreprise continue de rechercher de potentielles preuves de la vente des données volées sur Interne. Pour le moment, la base de données n'aurait pas encore fait surface sur les sites frauduleux spécialisés dans la revente de telles informations.
Pour terminer, Legder a confirmé le dépôt d'une plainte auprès des autorités afin d'examiner la situation de manière approfondie.
? À lire sur le même sujet : Kraken détecte des vulnérabilités sur les wallets Ledger Nano X
Bien que la faille ne concerne pas directement les cryptomonnaies conservées sur les portefeuilles de Ledger, les informations dérobées pourraient être utilisées à mauvais escient par des personnes malintentionnées.
En effet, même une simple adresse mail peut suffire à retrouver une adresse physique, notamment en recoupant les données en provenance de fuites de données ayant eu lieu sur d'autres plateformes.
Malgré la transparence de Ledger à ce sujet, il est certain que ce malheureux événement viendra entacher la réputation de la société auprès de la crypto-communauté.
💡 Sur le même thème : BitMEX a fait fuiter des milliers d'adresses mail d'utilisateurs
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌