Onder degenen die getroffen zijn, zijn klanten van de cryptocurrency hardware portemonnee fabrikant, Ledger. Het incident is de tweede keer dat Ledger-klanten mogelijk persoonlijke informatie hebben gekregen in het recente geheugen.

Hoewel de meeste gegevens hetzelfde zijn als die van Ledger's eigen beveiligingslek vorig jaar, hebben degenen achter het Shopify-lek nog eens 20,000 klantrecords veiliggesteld.

Nog eens 20,000 Ledger-klanten die risico lopen

Zoals BeInCrypto vorig jaar meldde, een enorm datalek bij cryptocurrency hardwarefabrikant Ledger zag de persoonlijke informatie van ongeveer 270,000 klanten gestolen. In december vonden de gegevens hun weg naar een openbaar online forum.

Ledger bagatelliseerde aanvankelijk de inbreuk en verklaarde dat het incident in juni slechts 9,500 gebruikers trof. Uit de openbare bekendmaking van de gegevens bleek echter anders.

Nu volledige namen, thuisadressen en e-mails zijn gelekt, zijn er sindsdien meldingen van phishing-pogingen verschenen. Sommige gebruikers maakten zelfs melding van afpersingspogingen doodsbedreigingen.

Al een groeiende trend in de slechte boeken van crypto, maakte Ledger woensdag nog een nieuwe doorbraak bekend. In een bedrijf blog post, onthulde het bedrijf dat het een van de handelaars was die werd getroffen door een beveiligingsincident bij het multinationale e-commercebedrijf Shopify.

Onlangs hebben we nieuws gedeeld over een datadump. Op 23 december werden we gewaarschuwd door onze e-commerceprovider Shopify over een incident in april en juni '20 waarbij hun malafide teamleden de klantendatabases van verkopers exporteerden. Ledger was inbegrepen. Meer details: https://t.co/NHU3IbDL0a pic.twitter.com/DHQQ9arxCu

- Ledger (@Ledger) 13 januari 2021

Volgens een bericht op de website van Shopify over het incident van september 2020, stalen twee 'malafide leden' van het ondersteuningsteam van het bedrijf transactiegegevens van ongeveer 200 verkopers.

Het Shopify-incident kwam voor het eerst aan het licht op 22 september, maar het nu ontslagen personeel 'illegaal' geëxporteerde gegevens in april en juni. Ledger beweert echter pas op 23 december te hebben vernomen over het lek waarbij zijn klanten betrokken waren.

Shopify werkt naar verluidt samen met de FBI en andere internationale wetshandhavingsinstanties om het incident te onderzoeken. Ondertussen heeft Ledger het Shopify-incident gemeld bij de Franse gegevensbeschermingsautoriteit en de extra gebruikers geïnformeerd die eerder woensdag getroffen waren.

Wijzigingen in opslag van klantgegevens

Als onderdeel van de meer recente bekendmaking van Ledger heeft het bedrijf wijzigingen aangekondigd in de manier waarop het in de toekomst met klantgegevens omgaat. Het beweert dat het nu vastbesloten is om persoonlijke informatie zo kort mogelijk op te slaan.

Bovendien, de Franse hardware portemonnee fabrikant zegt dat het gevoelige gegevens uit orderbevestigingsmails zal verwijderen om toekomstige informatielekken via e-commerceproviders te voorkomen. Het bedrijf zegt ook dat het een berichtenprotocol aan Ledger Live zal toevoegen, waardoor de afhankelijkheid van e-mailcommunicatie met klanten wordt verminderd.

Naast de toezegging om te blijven samenwerken met de wereldwijde wetshandhaving, kondigde het bedrijf ook het inhuren van extra privédetectives aan en de creatie van een 10 BTC-beloningsbeurs voor informatie die zou leiden tot de arrestatie en vervolging van de verantwoordelijken.

Hoewel herhaaldelijk dat het lek de apparaten van klanten niet had getroffen, waren veel getroffen gebruikers begrijpelijkerwijs overstuur. Sommigen verklaarden dat het volstrekt onaanvaardbaar is dat een ogenschijnlijk beveiligingsbedrijf klantgegevens kwetsbaar achterlaat:

Eerlijk gezegd onvergeeflijk lol pic.twitter.com/niAxy29GWR

- MAAN (@MoonOverlord) 13 januari 2021