CryptoTimes

Ledger, emissora de carteiras cripto, sofreu violação de segurança em junho

29 jul 2020, 8:04 - atualizado em 29 jul 2020, 8:04
Apesar de já ter corrigido a vulnerabilidade, a empresa alertou seus clientes a prestarem atenção em tentativas de phishing, já que endereços de e-mail e nomes foram vazados (Imagem: Crypto Times)

Nesta quarta-feira (29), Ledger, empresa que emite carteiras de hardware, afirmou ter sofrido uma violação de dados de sua base de dados de marketing e comércio on-line no fim de junho.

Informações de contato e pedidos de clientes foram expostas, mas a empresa disse que informações de pagamento e fundos com cripto não foram afetados. Clientes afetados foram notificados via e-mail, segundo a Ledger, que deu detalhes específicos da violação em uma publicação.

Ledger havia percebido a vulnerabilidade quando um pesquisador que participava do programa de caça à bugs (ou “bug bounty”) entrou em contato para falar sobre uma possível violação no site Ledger em 14 de julho.

Apesar de a Ledger afirmar ter consertado imediatamente a violação e começou uma investigação interna, descobriu que a vulnerabilidade já havia sido explorada semanas antes, em 25 de junho, quando um terceiro acessou a base de dados de marketing e comércio on-line com uma chave de interface de programação de aplicações (API, na sigla em inglês) que, em seguida, foi desativada.

Já que o ataque visava acessar a base de dados de marketing e comércio on-line, a parte ou partes por trás não conseguia acessar as frases de recuperação ou chaves privadas dos usuários.

Informações de pagamento, senhas ou fundos não foram afetados e a violação não foi relacionada às carteiras de hardware da Ledger ou aos produtos de segurança da Ledger Live, afirmou a empresa.

Porém, e-mails de cerca de um milhão de clientes foram comprometidos:

Apenas detalhes de contato e pedidos foram comprometidos. Isso totaliza endereços de e-mail de aproximadamente um milhão de nossos clientes.

Após investigações, também conseguimos descobrir que um subconjunto deles também foram expostos: primeiro nome e sobrenome, número de telefone residencial e produto(s) pedido(s).

Em um e-mail a seus clientes, Ledger disse: “seus criptoativos estão seguros, e não em perigo”.

Por esse motivo, Ledger recomenda que clientes tomem cuidado com tentativas de phishing (para roubo de informações) e reiterou que nunca pedirá pelas frases de recuperação dos usuários.

Na publicação, Ledger afirmou “lamentar extremamente” o incidente.

Levamos privacidade muito a sério. Descobrimos essa vulnerabilidade graças ao nosso programa de caça a bugs. Corrigimos imediatamente.

Porém, independente de tudo o que fizemos para evitar e consertar essa situação, pedimos desculpas sinceras pelo inconveniente que essa questão possa causá-los.

Dois dias após o pesquisador ter exposto a vulnerabilidade, Ledger enviou uma queixa à Autoridade de Proteção de Dados da França (CNIL) e, em 21 de julho, firmou uma parceria com Orange Cyberdefense (OCD) para avaliar os possíveis danos e identificar ainda mais brechas.

A empresa ainda está buscando por evidências de dados roubados sendo vendidos na internet, mas afirma não ter encontrado motivos até agora para acreditar que esse é o caso. O OCD enviou um relatório inicial em 24 de julho, mas a investigação pela CNIL ainda está acontecendo.