A gigante de carteiras de hardware Ledger está enfrentando um incidente de exposição de dados, desta vez vinculado ao seu processador de pagamentos terceirizado, Global-e.
Uma notificação por e-mail enviada aos clientes pela Global-e e inicialmente compartilhada pelo pseudônimo detetive de blockchain ZachXBT on X disse que a violação envolveu acesso não autorizado aos dados pessoais dos usuários do Ledger, como nomes e informações de contato do sistema de nuvem da Global-e.
O e-mail não revelou o número de clientes afetados nem especificou quando a exploração ocorreu.
Em 2020, a Ledger sofreu uma violação de dados que expôs informações de 270.000 clientes por meio do parceiro de comércio eletrônico Shopify. Em 2023, o Ledger foi hackeado em quase US$ 500.000, afetando várias aplicações financeiras descentralizadas.
A Global-e disse que detectou atividades incomuns e implementou controles rapidamente ao iniciar uma investigação, que verificou o acesso indevido.
“Contratamos especialistas forenses independentes para conduzir uma investigação sobre o incidente e fomos capazes de determinar que alguns dados pessoais, incluindo nome e informações de contato, foram acessados indevidamente”, afirmou no e-mail.
Os canais de mídia social da Ledger não mostram nenhum incidente ativo, exigindo vigilância ainda.
Em resposta por e-mail à CoinDesk, Ledger enfatizou que a violação ocorreu na Global-e, acrescentando que o processador de pagamentos enviou a notificação por e-mail aos clientes porque é o controlador de dados.
“A Ledger tomou conhecimento de um incidente na Global-e, uma parceira de comércio eletrônico para marcas e varejistas globais, incluindo a Ledger”, disse a empresa ao CoinDesk. “Este incidente consistiu no acesso não autorizado a dados de pedidos nos sistemas de informação da Global-e. Alguns dos dados acessados como parte deste incidente pertenciam a clientes que fizeram uma compra no Ledger.com usando a Global-e como Comerciante Registrado.
“Isso não foi uma violação da plataforma, hardware ou sistemas de software da Ledger, que permanecem seguros. Para evitar dúvidas, como o produto Ledger é autocustódio, a Global-e não tem acesso às suas 24 palavras, saldo de blockchain ou quaisquer segredos relacionados a ativos digitais”, afirmou.
Ledger explicou ainda que as informações de pagamento dos clientes não estavam envolvidas na violação e está trabalhando com a Global-e para chegar aos usuários afetados com informações relevantes.
“Continuamos unidos à indústria em guerra contra hackers e maus atores que tentam incansavelmente roubar informações dos usuários no ecossistema e no espaço de comércio eletrônico em geral”, disse Ledger.
CORRETO (5 de janeiro, 12h47 UTC): Muda o remetente do e-mail para Global-e, uma versão anterior da história dizia que ele havia sido enviado pela Ledger. Adiciona confirmação do razão, comentário.
Fonte: Folha SP
