Ledger раскрывает утечку данных у партнера по электронной коммерции: насколько опасны твои крипто-кошельки?

Производитель крипто-кошельков Ledger сообщил о нарушении безопасности на платформе своего партнера по электронной коммерции Global-e. Компания уверяет, что безопасность собственных аппаратных и программных кошельков не была нарушена. В результате инцидента не были раскрыты приватные ключи, данные транзакций или платежная информация клиентов.

Парижская компания Ledger имеет 12-летний опыт разработки и продажи крипто-кошельков. По собственным данным, более 7,5 миллионов устройств продано по всему миру, что обеспечивает примерно пятую часть всех криптовалют в мире. Доверие пользователей к безопасности этих устройств подвергается проверке в текущей ситуации, хотя прямые кошельки не пострадали.

Что действительно произошло на Global-e?

Global-e — международная платформа электронной коммерции и платежей, которая позволяет брендам продавать свои товары за границей. Израильская компания торгуется на NASDAQ под тикером GLBE и обслуживает сотни ритейлеров, включая такие известные бренды, как Victoria’s Secret, Adidas, Alo Yoga и Marc Jacobs.

Несанкционированный доступ затронул специально системы заказов на платформе Global-e. В результате были собраны данные некоторых клиентов, совершавших покупки на Ledger.com через Global-e в качестве платежного провайдера. Представитель Ledger сообщил Decrypt, что речь идет об изолированном инциденте на серверах Global-e, а не в системах самой Ledger.

Хорошая новость: поскольку Ledger предлагает продукты с самостоятельным хранением, Global-e никогда не имел доступа к критической информации о безопасности клиентов. Ни 24-словные фразы восстановления, ни криптовалютные активы или другие чувствительные данные о цифровых активах не были скомпрометированы. Также платежная информация не пострадала из-за утечки данных.

Как Ledger реагирует на нарушение безопасности?

Компания активно привлекла независимых судебных экспертов для расследования инцидента. Они проанализируют причины уязвимости и обеспечат, чтобы подобные случаи не повторялись. Такой шаг демонстрирует прозрачность и осведомленность компании о безопасности.

Этот инцидент входит в серию событий, связанных с системами третьих сторон в экосистеме Ledger. В декабре 2023 года компания сообщила о несанкционированном доступе к своему Ledger Connect Kit, вызванном фишинговой атакой на бывшего сотрудника. Тогда Ledger предупредила пользователей о необходимости воздержаться от использования некоторых децентрализованных приложений (dapps). Эти случаи подчеркивают важность многоуровневых мер безопасности в криптоиндустрии.

Для пользователей крипто-кошельков Ledger главное послание остается ясным: их цифровые активы защищены архитектурой с самостоятельным хранением, даже если внешние платформы, через которые совершаются покупки, пострадали от инцидентов безопасности. Активное расследование и прозрачная коммуникация Ledger помогают сохранять доверие к этой системе безопасности.