Ledger confirme une fuite de données clients via le processeur de paiement Global-e

Source : CryptoTale Titre Original : Ledger Confirms Customer Data Exposure Through Global-e Systems Lien Original :

Aperçu

• Un accès non autorisé chez Global-e a exposé les noms et coordonnées des clients Ledger.
• Ledger confirme que les phrases de récupération de fonds ou les clés privées des portefeuilles n’ont pas été accessibles.
• Les experts en sécurité avertissent que la fuite de données de contact augmente les risques de phishing et d’escroquerie.

Détails de l’incident

Le fabricant de portefeuilles matériels Ledger fait face à une nouvelle fuite de données après qu’un accès non autorisé a eu lieu dans les systèmes de son processeur de paiement tiers Global-e. L’incident concernait des données personnelles de clients telles que noms et coordonnées, extraites de l’infrastructure cloud de Global-e. Il n’y a aucune indication que les fonds du portefeuille, les clés privées ou les phrases de récupération aient été compromis à un moment donné.

Global-e a informé par email les clients concernés, en indiquant avoir détecté une activité inhabituelle dans une partie de son environnement cloud et avoir lancé une enquête. Le message n’a pas précisé combien de clients Ledger étaient impactés ni le moment exact de l’exploitation. La notification a été diffusée publiquement après avoir été partagée par l’enquêteur blockchain ZachXBT sur les réseaux sociaux.

Ledger a confirmé l’incident, précisant que la violation s’est produite entièrement dans les systèmes de Global-e. La société a indiqué que Global-e agissait en tant que responsable du traitement des données et a donc émis les notifications aux clients.

Fuite par un tiers confirmée

Global-e a déclaré avoir identifié une activité irrégulière et avoir rapidement appliqué des contrôles de sécurité pour contenir le problème. La société a ensuite fait appel à des spécialistes en forensic externes pour examiner l’incident en détail.

Cet examen a confirmé un accès incorrect à un ensemble limité de données personnelles de clients. Global-e a informé ses clients que les enquêteurs ont confirmé que « certaines données personnelles, y compris le nom et les coordonnées, ont été incorrectement accessibles ». La déclaration ne mentionne pas les détails de paiement ni les identifiants d’authentification.

Ledger a par la suite confirmé ces conclusions. La société a indiqué que l’accès non autorisé concernait des données de commandes stockées dans les systèmes d’information de Global-e. Ledger a répété que l’incident n’a pas touché son infrastructure interne, ses appareils ou ses applications.

Réponse de Ledger et périmètre de sécurité

Ledger a insisté sur le fait que ses produits en auto-garde restent indemnes de l’incident.

La société a précisé que Global-e ne peut pas accéder aux phrases de récupération, aux soldes de portefeuille ou aux secrets d’actifs numériques. Ledger a indiqué que ses systèmes matériels et logiciels continuent de fonctionner normalement.

« Il ne s’agit pas d’une violation de la plateforme, du matériel ou des systèmes logiciels de Ledger », a déclaré la société.

Elle a ajouté que Global-e ne traitait que des informations relatives aux achats et commandes pour les clients achetant via Ledger.com. La société a également expliqué pourquoi Global-e a contacté directement les clients. Ledger a indiqué que Global-e contrôlait les données concernées et assumait donc la responsabilité des notifications de violation. Au moment de la publication, aucune des deux entreprises n’a publié d’estimation du nombre de clients affectés.

Contexte historique et risques persistants

L’incident s’inscrit dans la continuité de plusieurs événements de sécurité passés impliquant Ledger. En juin 2020, une API tierce mal configurée a exposé des données marketing et de commerce électronique. Cette fuite a divulgué environ un million d’adresses email et des données de contact détaillées pour 9 500 clients.

En 2023, des attaquants ont exploité une bibliothèque logicielle compromise liée à Ledger. L’attaque a drainé entre 484 000 et 600 000 dollars en cryptomonnaie en cinq heures.

Les experts en sécurité continuent d’avertir que la fuite de données de contact peut alimenter des attaques d’ingénierie sociale même sans accès au portefeuille. Certains recommandent d’utiliser des informations de contact minimales ou alternatives lors de l’achat de portefeuilles matériels pour réduire l’efficacité des tentatives de phishing ciblé si des bases de données sont exposées.