Le géant du portefeuille matériel Ledger est aux prises avec un incident d’exposition de données, cette fois lié à son processeur de paiement tiers, Global-e.
Une notification par courrier électronique envoyée aux clients par Global-e et initialement partagée par le détective pseudonyme de la blockchain ZachXBT sur X a déclaré que la violation impliquait un accès non autorisé aux données personnelles des utilisateurs de Ledger, telles que les noms et les coordonnées du système cloud de Global-e.
L’e-mail n’a pas divulgué le nombre de clients concernés ni précisé quand l’exploit s’est produit.
En 2020, Ledger a subi une violation de données qui a exposé les informations de 270 000 clients via son partenaire de commerce électronique Shopify. En 2023, Ledger a été piraté pour près de 500 000 $, affectant plusieurs applications financières décentralisées.
Global-e a déclaré avoir détecté une activité inhabituelle et mis en œuvre rapidement des contrôles tout en lançant une enquête, qui a vérifié l’accès inapproprié.
« Nous avons retenu les services d’experts légistes indépendants pour mener une enquête sur l’incident et nous avons pu déterminer que certaines données personnelles, notamment le nom et les coordonnées, ont fait l’objet d’un accès inapproprié », indique le courrier électronique.
Les réseaux sociaux de Ledger ne montrent aucun incident actif, ce qui incite à la vigilance.
Dans une réponse par courrier électronique à CoinDesk, Ledger a souligné que la violation s’était produite chez Global-e, ajoutant que le processeur de paiement avait envoyé la notification par courrier électronique aux clients car il était le contrôleur des données.
« Ledger a été informé d’un incident chez Global-e, un partenaire de commerce électronique pour des marques et des détaillants mondiaux, dont Ledger », a déclaré la société à CoinDesk. « Cet incident consistait en un accès non autorisé aux données de commande dans les systèmes d’information de Global-e. Certaines des données consultées dans le cadre de cet incident concernaient des clients qui avaient effectué un achat sur Ledger.com en utilisant Global-e en tant que commerçant officiel.
« Il ne s’agit pas d’une violation de la plate-forme, du matériel ou des systèmes logiciels de Ledger, qui restent sécurisés. Pour éviter tout doute, comme le produit Ledger est auto-dépositaire, Global-e n’a pas accès à vos 24 mots, au solde de la blockchain ou à tout secret lié aux actifs numériques », a-t-il déclaré.
Ledger a expliqué que les informations de paiement des clients n’étaient pas impliquées dans la violation et qu’il travaillait avec Global-e pour fournir des informations pertinentes aux utilisateurs concernés. Il a ajouté que Ledger n’était pas la seule marque concernée : une partie non autorisée a également accédé à un système cloud Global-e contenant les données de commande des acheteurs de plusieurs autres marques.
« Nous restons unis avec l’industrie en guerre contre les pirates informatiques et les mauvais acteurs qui tentent sans relâche de voler les informations des utilisateurs dans l’écosystème et dans l’espace du commerce électronique en général », a déclaré Ledger.
CORRECT (5 janvier, 12h47 UTC) : Change l’expéditeur du courrier électronique en Global-e, une version antérieure de l’histoire indiquait qu’il avait été envoyé par Ledger. Ajoute une confirmation du grand livre et un commentaire.
Share this content: