CryptoTimes

Ledger e Shopify são processadas por violação de dados de clientes em 2020

08 abr 2021, 15:36 - atualizado em 08 abr 2021, 15:36
As empresas “precisarão explicar por que levaram tanto tempo para avisar aos clientes sobre um incidente tão terrível e danoso” (Imagem: Crypto Times)

A Ledger e a Shopify, que lida com as vendas online das carteiras da Ledger, foram atingidas com uma ação coletiva por causa do vazamento de dados do último ano.

A Ledger produz algumas das mais populares “cold wallets” (carteiras frias) do mercado.

No verão de 2020, as notícias de ataques de phishing se espalharam contra usuários da Ledger, e a empresa finalmente revelou que sofreu um vazamento de dados em junho durante o qual o contato com clientes e informações de pedidos foram comprometidos.

Em dezembro, um banco de dados contendo informações pessoais de mais de um quarto de milhão de clientes da Ledger foram postadas on-line.

Por fim, a Ledger e a Shopify identificaram um funcionário trapaceiro da Shopify como responsável pelo vazamento, mas não antes de alguns usuários relatarem ameaças de invasão de suas casas e outras táticas de “scareware” tipo de software malicioso que tenta enganar o usuário para que ele faça algum download.

À época, Pascal Gauthier, o CEO da Ledger, foi ao Twitter para assegurar aos usuários que suas “hardware wallets” (carteiras físicas) não haviam sido comprometidas e que seu dinheiro estava seguro. Mesmo assim, conversas sobre o início de uma ação coletiva surgiram logo depois.

O processo, o primeiro a ser enviado em resposta ao vazamento de informações, vem da empresa de advocacia Roche Freedman, que apresentou uma acusação em um tribunal de São Francisco no dia 6 de abril.

A empresa é conhecida por suas ações coletivas contra empresas de cripto, como Binance, Tron e iFinex, empresa-irmã da Tether e da Bitfinex. Na semana passada, a Roche Freedman apresentou um processo em nome de um cliente da Nexo, como informado pelo Law360

Em relação ao vazamento da Ledger, Kyle Roche, sócio da empresa de advocacia, disse ao The Block: “estamos investigando isso desde que se tornou público. Essa investigação incluiu conversas com experts em segurança de dados e áreas de criptomoedas”.

Em uma declaração, o conselheiro geral da Ledger, Antoine Thibault, disse: “a Ledger não faz comentários sobre questões legais em andamento. A Ledger, no entanto, gostaria de aproveitar esse momento para lembrar a nossos clientes, novamente, para nunca divulgarem suas 24 palavras-chave e validar a identidade do recebedor de suas transações. Você tem total controle de acesso a seus fundos”.

O caso se baseará na questão de quem é responsável por isso. As wallets da Ledger não foram comprometidas, mas a acusação inclui a segurança dos serviços da Shopify como parte do dever da Ledger para com seus clientes.

Como observado na acusação: “ao operar no espaço dos ativos de cripto, a Ledger se coloca entre os fundos dos usuários e os candidatos a hackear. O anonimato de sua lista de clientes é um elemento chave e óbvio da segurança que a Ledger oferece”. 

Central para a delegação de responsabilidade será a questão do que a Ledger e a Shopify sabiam e quão rapidamente elas comunicaram essas informações aos usuários.

Como Roche disse ao The Block: “o caso é digno de nota porque duas grandes e sofisticadas empresas que lidam com informações sérias precisarão explicar por que levaram tanto tempo para avisar aos clientes sobre um incidente tão terrível e danoso”.

A acusação atual não especifica a quantia de reparo que busca para a ação coletiva, mas identifica a “questão em controvérsia” como equivalente a mais de US$ 5 milhões.

Atualmente, a acusação se refere apenas a dois usuários da Ledger diretamente que, juntos, perderam 4,2 BTC, 11 ETH e 150,000 XLM em ataques de phishing. Aos preços atuais, essas posses somam US$ 340.000, mas valiam consideravelmente menos na época dos ataques.

Uma cópia da acusação está a seguir: