Ledger, fabrikant van hardwarematige cryptowallets, heeft de gegevens van 1 miljoen gebruikers gelekt. Dat laat het bedrijf vandaag weten. Aanvallers wisten toegang tot de marketingdatabase te krijgen. Die bevatte zo'n 1 miljoen e-mailadressen. Van 9500 gebruikers ging het ook om voor- en achternaam, telefoonnummer, adresgegevens en aangeschafte producten.
Ledger biedt hardwarematige wallets voor het opslaan van allerlei cryptovaluta. Volgens de fabrikant wist een aanvaller via een verkeerd geconfigureerde API-key van een derde partij, aanwezig op ledger.com, toegang tot de database te krijgen en zo contact- en bestelgegevens in te zien. De verkeerd geconfigureerde API-key was sinds 9 augustus 2018 actief. Volgens Ledger zouden aanvallers er van april 2020 tot 28 juni 2020 misbruik van van hebben gemaakt. Na ontdekking van het datalek werd de betreffende API-key uitgeschakeld.
Ledger maakt gebruik van een derde partij voor het versturen en analyseren van transactie- en marketingmails aan klanten die producten op Ledger.com hebben aangeschaft of zich voor de nieuwsbrief hebben aangemeld. Naast het informeren van klanten heeft Ledger het datalek ook bij de Franse privacytoezichthouder gemeld. Ook zal er aangifte worden gedaan bij de Franse politie. Ledger meldt daarnaast dat er al interne penetratietests werden uitgevoerd, maar dat externe penetratietests die voor september 2020 stonden gepland naar voren worden gehaald.
Deze posting is gelocked. Reageren is niet meer mogelijk.