Ledger, een van de grootste aanbieders op het gebied van hardware wallets voor cryptocurrency, heeft klanten gewaarschuwd voor een datalek waarmee het bedrijf te maken kreeg in juni en juli.

In een e-mail welke is rondgestuurd op 29 juli en in een blogpost zei het bedrijf op de hoogte te zijn gebracht van een inbreuk op 14 juli toen een onderzoeker die deelnam aan het bounty-programma contact opnam over een kwetsbaarheid in de website.

De kwetsbaarheid kon onmiddellijk worden verholpen, maar later bleek uit onderzoek dat een andere partij op 25 juni een soortgelijke actie had ondernomen.

Deze partij heeft zich toegang weten te verschaffen tot de marketing database van Ledger middels een API-key. Deze database was puur voor promotionele doeleinden en de veiligheid van de Ledger zelf is nooit in het geding geweest.

Volgens het bericht dat Ledger naar buiten bracht heeft dit de e-mailadressen van bijna een miljoen mensen in gevaar gebracht. Het bedrijf voegde eraan toe dat voor een subset van 9.500 klanten ook details zoals voor- en achternaam, postadres en telefoonnummer werden gestolen.

Na de zaak samen met derden te hebben onderzocht en de inbreuk te hebben bevestigd, zei Ledger dat het de Franse autoriteit voor gegevensbescherming, CNIL, op de hoogte had gesteld. Ledger stelde hun gebruikers gerust met de beveiliging van hun geld en schreef in een blogpost:

“Uw betalingsinformatie en cryptofondsen zijn veilig […] Wat betreft uw e-commercegegevens: er is geen betalingsinformatie, geen inloggegevens (wachtwoorden), gestolen tijdens dit datalek. Het lek had alleen invloed op de contactgegevens van onze klanten.”

Het bedrijf zegt dat het nu online marktplaatsen controleert om bewijs te vinden van de gestolen gegevens die worden verkocht, maar tot nu toe nog geen aanwijzingen heeft gevonden dat er gegevens worden doorverkocht.

Advies van Ledger

We raden u aan voorzichtig te zijn – houd altijd rekening met phishing-pogingen van kwaadwillende oplichters. Simpel gezegd, Ledger zal u nooit om de 24 woorden van je recovery-seed vragen. Als u een e-mail ontvangt die eruitziet alsof deze afkomstig is van Ledger waarin u om uw 24 woorden wordt gevraagd, moet u dit zeker als een phishing-poging beschouwen.

Bovendien raden we u aan om, terwijl we alles doen wat we kunnen, de beveiligingssectie van Ledger Academy te bezoeken om uzelf te informeren over algemene beveiligingsprincipes en meer bepaald ons artikel over phishing-aanvallen.

We hebben veel spijt van dit incident. We nemen privacy zeer serieus, we hebben dit probleem ontdekt dankzij ons eigen bug bounty-programma, we hebben het meteen opgelost. Maar wat we ook hebben gedaan om deze situatie te voorkomen en op te lossen, onze excuses voor het ongemak dat deze kwestie voor u kan veroorzaken

Wilt u weten of uw gegevens ooit zijn vrijgekomen bij een datalek? Ga dan naar haveibeenpwned.com en volg de instructies.