Hechos clave:
-
Shopify notificó el hallazgo de 20.000 clientes de Ledger adicionales entre los numerosos afectados.
-
Ledger colabora con las autoridades y toma medidas internas de seguridad.
La información personal de 20.000 clientes de Ledger fue sustraída de Shopify, una empresa de comercio electrónico. Se trata de una cifra adicional que se suma a la de los afectados en otros incidentes de seguridad ocurridos el año pasado con los usuarios de estos monederos.
La cifra total asciende a 292 mil clientes afectados, incluyendo el filtrado de datos de Shopify, proveedor de servicios de comercio electrónico para Ledger y una de las principales compañías del mundo en ese sector.
Según se detalla en una publicación del equipo de Ledger, Shopify les notificó el 23 de diciembre del año pasado, que los datos de sus clientes también fueron vulnerados en los ataques de septiembre de 2020. Fue solo hasta el 21 de diciembre, como informó Shopify, que descubrieron que Ledger también fue afectado en este incidente.
Con la ayuda de la firma forense Orange Cyberdefense, Ledger estableció que en total fueron afectados 292 mil de sus clientes. La base de datos implicada es 93% similar a la fuga reportada en septiembre, agregando 20.000 perfiles adicionales de sus clientes. Los datos incluyen dirección de correo, nombres completos, dirección, tipo de producto que el usuario compró y el número de teléfono de los clientes, indica Ledger.
Ante las circunstancias, Ledger creó un fondo de recompensa de 10 BTC y lo ofrece a quienes faciliten información que conduzca al arresto de los responsables de los ataques. Estos 10 BTC se encuentran en esta dirección y equivalen en este momento a casi 400 mil dólares.
Con este monto en BTC se premiará a quien facilite nueva información, obtenida legalmente y relevante para el avance de la investigación, entre otros términos y condiciones.
En este momento, Ledger facilita información a las autoridades para lograr apresar a los responsables. La brecha de información fue notificada a la Autoridad de Protección de Datos de Francia el pasado 26 de diciembre, indican. Además, trabajan junto al FBI y la Policía Montada de Canadá (RCMP), como también introdujeron una causa legal ante la Fiscalía Pública de Francia. Asimismo, trabajan con Shopify para seguir conociendo detalles del proceso y reforzar la seguridad en conjunto.
Nuevos procedimientos internos de seguridad
Ledger indicó que entre los nuevos procedimientos de seguridad que implementará se encuentra borrar la información personal de sus clientes lo más pronto posible, aunque esto suponga retos para sus operaciones comerciales y sus obligaciones legales.
La firma propone adicionalmente que la información sensible sobre sus clientes sea almacenada de forma externa, al transcurrir tres meses después de haber entregado un producto, reduciendo además las ubicaciones donde se resguarda esta información personal.
También indican que no incluirán información personal en los correos de confirmación de compra, de modo que los proveedores de comercio electrónico, como Shopify, no puedan acceder desde los correos enviados.
En este sentido, Ledger también anuncia que estará mejorando sus medios de soporte y contacto con sus clientes. Mientras que el correo electrónico se utilizará única y exclusivamente para enviar anuncios y publicidad, a través de la aplicación nativa Ledger Live se difundirá información importante sobre seguridad y demás aspectos técnicos.
Así mismo Ledger informó que se encuentra reclutando a más investigadores para abordar la resolución de estas fugas de datos, determinados a llevar a la cárcel a los responsables y colaborando con autoridades de todo el mundo para lograrlo, dicen.
Como reportamos en CriptoNoticias, a mediados de julio del año pasado se reportó que los datos de 1 millón de usuarios habían sido vulnerados por un ataque al departamento de mercadeo de Ledger. El robo fue advertido en septiembre y al siguiente mes desencadenó una campaña de ataques de phishing contra los usuarios de Ledger.
En diciembre se informó que los datos de un grupo de más 300.000 clientes habían sido publicados en la web oscura, quienes fueron objeto de la codicia y amenazas de hackers y piratas cibernéticos. Esto obligó a los usuarios a tomar las mejores medidas de seguridad.
