Hardware-Wallet-Hersteller Ledger: Datenleak vom Juni betrifft Kunden- und Bestellinformationen
  • Home  / 
  • Blog  / 
  • News
  •  /  Hardware-Wallet-Hersteller Ledger: Datenleak vom Juni betrifft Kunden- und Bestellinformationen

Hardware-Wallet-Hersteller Ledger: Datenleak vom Juni betrifft Kunden- und Bestellinformationen

Im Juni wurde von einem Datenleak bei den Hardware-Wallet-Herstellern Trezor als auch Ledger berichtet. Trezor hat in einer Stellungnahme geschrieben, dass das Unternehmen davon nicht betroffen ist, da eine andere E-Commerce-Software im Einsatz ist. Bei Ledger dürfte es allerdings anders aussehen.

Ledger Datenleak

Am Mittwoch hat das Hardware-Wallet-Unternehmen Ledger bekannt gegeben, dass es Ende Juni einen Datenverstoß in seiner Marketing- und E-Commerce-Datenbank erlitten habe. Über diesen Vorfall hatten wir zum damaligen Zeitpunkt berichtet.

Kontakt- und Bestellinformationen für Kunden sind geleakt worden, dennoch sagte das Unternehmen, Zahlungsinformationen und Kryptofonds seien nicht betroffen. Betroffene Kunden wurden laut Ledger verständigt, in dem die Einzelheiten des Verstoßes in einem am frühen Mittwoch veröffentlichten Blog-Eintrag beschrieben wurden.

Ledger erkannte die Schwachstelle zum ersten Mal, als ein Forscher, der an einem Bug-Bounty-Programm teilnahm, Leder am 14. Juli davon berichtete. Obwohl Ledger sagte, dass dieses Problem sofort behoben und eine interne Untersuchung eingeleitet wurde, stellte er fest, dass diese Schwachstelle bereits Wochen davor aufgetreten war, als ein Dritter mit einem seitdem deaktivierten API-Key auf die Marketing- und E-Commerce-Datenbank zugegriffen hat.

Durch den Angriff, der auf die Marketing- und E-Commerce-Datenbank abzielte, war es allerdings nicht möglich, auf die Wiederherstellungsphrasen oder privaten Schlüssel der Benutzer. Zahlungsinformationen, Passwörter und Geldmittel seien nicht betroffen und die Schwachstelle habe nicht mit den Hardware-Wallets von Leger oder der Software Ledger Live zu tun.

Anzeige

Die E-Mails von ungefähr einer Million Kunden wurden jedoch kompromittiert, wie der feste Beitrag feststellte:

“Es handelte sich ausschließlich um Kontakt- und Bestelldaten. Dies ist hauptsächlich die E-Mail-Adresse von ungefähr 1 Million unserer Kunden. Nach einer Untersuchung konnten wir auch feststellen, dass eine Teilmenge von ihnen ebenfalls offengelegt wurde: Vor- und Nachname, Postanschrift Telefonnummer und bestellte Produkte. ”

Aus diesem Grund empfahl Ledger seinen Kunden, auf Phishing-Versuche aufzupassen und wiederholte, dass das Unternehmen niemals nach den Wiederherstellungsphrasen der Benutzer fragen würde.

In dem Blog-Beitrag sagte Ledger, es sei “äußerst bedauerlich” für den Vorfall.

“Wir nehmen den Datenschutz sehr ernst. Wir haben diese Sicherheitsanfälligkeit dank unseres eigenen Bug-Bounty-Programms entdeckt und sofort behoben. Unabhängig davon, was wir getan haben, um diese Situation zu vermeiden und zu beheben, entschuldigen wir uns aufrichtig für die Unannehmlichkeiten, die Ihnen durch diese Angelegenheit entstehen können.”

Zwei Tage, nachdem der Forscher die Schwachstelle aufgedeckt hatte, reichte Ledger einen Bericht bei der französischen Datenschutzbehörde CNIL ein und hatte sich bis zum 21. Juli mit Orange Cyberdefense (OCD) zusammengetan, um die potenziellen Schäden zu bewerten und Verstöße weiter zu identifizieren.

Ledger sucht weiterhin nach Beweisen, dass die die gestohlenen Daten im Internet verkauft werden. Man sagte allerdings, dass es bisher keinen Grund zu der Annahme gibt, dass dies der Fall ist. Die OCD hat am 24. Juli einen ersten Bericht eingereicht, die Untersuchung durch CNIL ist jedoch noch nicht abgeschlossen.

©Bild via Pixabay / Lizenz

Anzeige
Hinterlasse einen Kommentar

Leave a comment: