Ledger ha detectado un fallo de seguridad a través del cual se ha visto comprometida la base de datos comercial y de marketing. La compañía afirma que ninguno dato que pueda afectar a las carteras o al servicio Ledger Live se han filtrado.
El 29 de Julio la compañía de carteras para criptomonedas en frío Ledger ha emitido un comunicado para todos sus usuarios. En este se informa acerca de un fallo de seguridad en su sistema el cual ha permitido a terceros no relacionados con la compañía obtener acceso a la base de datos de comercial y de marketing de Ledger.
Este problema fue descubierto por un un investigador el cual forma parte del programa de Ledger encargado de buscar fallos de seguridad en la infraestructura de la plataforma y recibir una recompensa por hacérselo saber a los desarrolladores. El investigador dio la alerta el 14 de julio, de forma inmediata el equipo de Ledger solucionó dicho problema. Este fallo consistía en una vulnerabilidad en la seguridad de las claves API, a través de dicha calve, se obtenía acceso a la base de datos de comercio electrónico y marketing, esta calve API ha sido desactivada solucionando así el problema.
Las incidencias encontradas
Tras percatarse y solucionar la vulnerabilidad la plataforma se sometió a una investigación interna. Tras una semana de investigación se reveló que el fallo de seguridad había sido explotada por un tercero no autorizado el 25 de junio. Este tercero tuvo pleno acceso a los datos recopilados en la BBDD de marketing y pudo haber recogido estos para su mal uso o en su propio beneficio.
En esta base de datos se guarda la información relacionada con confirmaciones de pedidos y correos electrónicos promocionales, por lo que podemos encontrar los correos de la gran mayoría de los clientes de la compañía, que rondan el millón de usuarios. Dentro de la base de datos también se encuentran subconjuntos de clientes, entorno a unos 9500, de los cuales se han guardado datos acerca de: pedidos realizado, nombre, apellidos, dirección postal e incluso números de teléfono.
Todos estos datos han estado expuestos durante un tiempo que no se ha definido, pero como mínimo desde el día 25 de junio hasta que se percataron del fallo en día 14 de julio. Todos los clientes de la compañía han sido informados acerca de la situación a través de un correo electrónico. En el correo se acalara que esta violación no ha afectado a las billeteras de hardware, ni a la seguridad de Ledger Live, ni a la información de pago o contraseñas de los clientes, por lo que todos los fondos siguen siendo totalmente seguros y están intactos.
Ledger ya ha informado a Autoridad de Protección de Datos de Francia (CNIL) para garantizar la aplicación de la ley de privacidad de datos para la posible información sustraída. El 21 de Julio Ledger se asoció con Orange Cyberdefense para una evaluación de los daños ocasionados, estos han confirmado la violación de la seguridad y el robo de los datos de la BBDD.
El equipo de Ledger está realizando un monitoreo y estudio de las bases de datos vendidas en Internet y en la Deep Web, por ahora no han encontrado sus datos en venta. A mayores de este seguimiento, el equipo legal que representa a la compañía está preparando una queja formal para presentar ante las autoridades.
Medidas de prevención en contra del phishing
Ahora los clientes de Ledger son un posible objetivo para estafadores o ataques phishing, por lo que la compañía ha recordado, entre otros consejos, que Ledger nunca pedirá a su clientes las 24 palabras de su clave de recuperación. En caso de recibir un correo pidiendo esta u otra información similar, se tratará de un claro intento de phishing, aclara la compañía.
Ledger ha implementado en su aplicación Ledger Live un sistema de contacto para cualquier duda por parte de sus clientes. También han puesto a disposición de la comunidad las redes de Twitter, Facebook y Linkedin.
Seguir leyendo acerca del nuevo descubrimiento de un malware de criptojacking capaz de ejecutar ataques DDoS, es posible que te parezca interesante.
