Ibahagi ang artikulong ito
Bakit Itinago ng Ledger ang Lahat ng Data ng Customer sa Unang Lugar
Ang pagtatapon ng mga email at address ng customer sa Linggo ay nagsisilbing isang nakababahalang paalala na kahit na ang isang Maker ng hardware Crypto wallet ay maaaring maging data honeypot.
Una, ang magandang balita, sa paraan ng pagsasalita: Ang mga customer ng Ledger ay makikita na ngayon mismo kung ang kanilang personal na impormasyon ay nalantad sa hack natuklasan noong Hulyo.
Ipagpatuloy Ang Kwento Sa Baba
Huwag palampasin ang isa pang kuwento.Mag-subscribe sa Crypto Daybook Americas Newsletter ngayon. Tingnan lahat ng newsletter
May nag-post ng kumpletong listahan ng 1 milyong email address at 272,000 pangalan, mailing address at numero ng telepono na pagmamay-ari ng mga customer ng Maker ng hardware Cryptocurrency wallet na nakabase sa France. Ang huling listahan ay mas malaki kaysa sa numerong dati nang isiniwalat ng Ledger (9,500).
Tinanong tungkol sa pagkakaiba, sinabi ng tagapagsalita ng Ledger: "Sa oras ng insidente, ang mga log mula sa isang third-party na application na namamahala sa aming database ay nagpakita ng 9,500 indibidwal ang naapektuhan. Sabay-sabay, nakikipagtulungan kami sa isang panlabas na organisasyon ng seguridad upang magsagawa ng forensic review, na kinumpirma rin ang 9,500 katao." Sa isang email na ipinadala sa mga customer pagkaraan ng Lunes, sinabi ng Ledger na ang mga detalye sa listahan ng 272,000 "ay hindi magagamit sa mga log na aming nasuri." Ang mga customer na ang impormasyon ay nasa listahang iyon ay aabisuhan sa pamamagitan ng email sa loob ng 24 na oras, sinabi ng kumpanya.
"Ito ay isang napakalaking understatement upang sabihin na taos-puso naming ikinalulungkot ang sitwasyong ito. Lubos naming sineseryoso ang Privacy ," sabi ni Ledger sa isang tweet bagyo Linggo. "Ang pag-iwas sa mga sitwasyong tulad nito ay isang pangunahing priyoridad para sa aming buong kumpanya, at natutunan namin ang mahahalagang aral mula sa sitwasyong ito." Kabilang sa iba pang mga hakbang, ang Ledger ay kumuha ng bagong punong opisyal ng seguridad ng impormasyon at tinanggal ang 170 phishing site mula noong paglabag, sinabi nito.
Mayroong hindi bababa sa tatlong mga site sa pagbabahagi ng file, na nakapagpapaalaala sa ginintuang edad ng mga MP3 blog, kung saan maaari mong i-download ang dalawang listahan. Hindi ko ipo-post ang mga link ngunit tumagal lamang ng ilang minuto sa paghahanap sa Twitter upang mahanap ang mga ito.
Kung na-download mo ang trove, mangyaring suriin para sa iyong sariling mga detalye, pagkatapos ay tanggalin ito. Kung KEEP mo ang file, tumingala sa mga pangalan o tsismis sa mga kaibigan tungkol dito, well, Madidismaya ako.
Ang ilan sa mga email address sa pagtagas ng data ay tumutugma sa mga nakatanggap ng mga phishing na email mula sa mga scammer na naghahanap upang dayain ang mga mambabasa ng CoinDesk .
Bilang nag-ulat kami noong Hulyo, ang mga scammer na ito ay nangongopya ng mga lehitimong CoinDesk Newsletters, nagdaragdag ng ilang mapanlinlang na talata at link tungkol sa isang Crypto giveaway, at ipinapadala ang mga ito sa mga indibidwal na hindi kailanman nag-sign up upang makatanggap ng mga email ng CoinDesk upang magsimula.
Casa CTO Jameson Lopp iminungkahi noong Nobyembre na ang mga customer ng Ledger ay maaaring na-target; Sinusuportahan ng data dump ng Linggo ang teoryang iyon.
Mas malaking larawan
Ang masamang balita: OK, hindi ito balita ngunit ang data dump ng Linggo ay nagsisilbing isang nakababahalang paalala na kahit na ang isang Maker ng hardware Crypto wallet ay maaaring maging honeypot ng sensitibong data. (Ginagamit ko ang terminong "honeypot" sa kahulugan ng "isang mahalagang target para sa mga hacker," hindi "isang decoy site upang bitag sila.")
What’s really bothersome about the @Ledger leak is that they had no reason to keep the information in the first place.
— HackAlert (@HackAlertIO) December 20, 2020
They only needed shipping address and they only needed to keep they information for less than 30 days to make sure shipments were delivered
Ang dahilan ay bahagyang dahil sa mga kinakailangan sa marketing ng isang startup, at bahagyang dahil sa mga kinakailangan sa legal at regulasyon.
Sa isang FAQ nai-post noong Hulyo, sinabi ng kumpanya na na-access ng isang attacker ang bahagi ng database ng marketing nito sa pamamagitan ng API key ng third party na na-misconfigure sa website ng Ledger.
Sa sandaling natuklasan ang paglabag, ang susi ay na-deactivate, sabi ng Ledger. Ngunit hindi sa oras upang pigilan ang mga bastos na ma-access ang mga listahan at, tila, ibenta ang mga ito sa mga phishing artist.
Bakit magkakaroon ng API key ang isang third party? Ang FAQ nagpatuloy sa pagpapaliwanag:
Gumagamit ang mga ledger e-commerce at marketing team ng third-party na solusyon (Iterable) upang magpadala at magsuri ng mga transactional at marketing na email sa mga customer na bumili ng mga produkto sa ledger.com o nag-sign up upang matanggap ang aming mga Newsletters . … Alinsunod sa aming Policy sa Privacy , bilang isang data controller, maaari naming ipadala ang ilan sa iyong data sa mga third party gaya ng mga payment service provider (PSP) na imprastraktura, logistik, at iba pang mga service provider, sa loob ng naaangkop na kontraktwal at legal na mga balangkas.
Sinasaklaw nito ang mga email. Paano ang lahat ng mga mailing address, pangalan at numero ng telepono? Bakit hindi linisin ang mga iyon pagkatapos ipadala ang mga kalakal? Bumalik sa FAQ:
Para sa mga legal na dahilan, obligado kaming mag-imbak ng ilang impormasyon sa transaksyon na may kaugnayan sa mga detalye ng contact ng aming mga customer at data ng kanilang mga order.
Alinsunod sa prinsipyo ng limitasyon sa imbakan na FORTH sa ilalim ng mga naaangkop na batas, sinisikap naming panatilihin ang data nang hindi hihigit sa oras na kinakailangan upang sumunod sa mga lehitimong layunin at legal na layunin, kabilang ang pagtugon sa anumang legal, accounting, buwis, o iba pang mga kinakailangan sa pag-uulat ng pagsunod.
Maaari naming i-archive ang ilan sa iyong personal na data, na may pinaghihigpitang pag-access, para sa isang karagdagang yugto ng panahon kung kailan mahigpit na kinakailangan para sa amin na sumunod sa aming legal at/o regulasyong mga obligasyon sa pag-archive at para sa naaangkop na batas ng mga panahon ng limitasyon.
Sa pagtatapos ng karagdagang panahon na ito, ang iyong natitirang personal na data ay permanenteng mabubura o i-anonymize mula sa aming mga system. Kung bumili ka ng produkto o serbisyo mula sa amin, maaari kaming magpanatili ng ilang data sa transaksyon na naka-attach sa iyong Mga Detalye sa Pakikipag-ugnayan upang sumunod sa aming mga obligasyon sa legal, buwis, o accounting sa loob ng maximum na 10 taon na FORTH ng mga naaangkop na batas ng France, gayundin upang payagan kaming pamahalaan ang aming mga karapatan (halimbawa upang igiit ang aming mga claim sa Mga Hukuman) sa panahon ng naaangkop na mga batas ng limitasyon ng France.
Kailangan din naming panatilihin ang ilan sa iyong personal na data na nakapaloob sa database na ito, upang masagot namin ang iyong mga tanong, maproseso ang mga potensyal na paghahabol, at mapanatili ang ebidensya para sa pagsisiyasat ng kriminal.
Sa madaling salita, kung minsan ang mga kamay ng mga kumpanya ay nakatali at kailangan nilang hawakan ang nakakalason na basura iyon ay data ng customer kahit na T nila.
Lakasan mo ang loob; may mga paraan upang mapagaan ang panganib ng pagkakalantad kahit na kapag nag-order ng mga pisikal na produkto, gaya ng sinabi ng CoinShares Chief Strategy Officer Meltem Demirors sa Twitter:
might be wise to plan ahead and:
— Meltem Demir◎rs (@Melt_Dem) December 21, 2020
- email: use trashmail / yopmail to generate new random email addresses for every site
- phone: use an app generate fake #s or get a second phone to manage 2FA
- mail: get a PO box or mail forwarding service https://t.co/Ku25oz5b2R
Read More: Let's Be Privacy Scolds
I-UPDATE (Dis. 21, 16:45 UTC): Nagdagdag ng pahayag mula sa tagapagsalita ng Ledger.
I-UPDATE (Dis. 21, 18:40 UTC): Nagdagdag ng quote mula sa Ledger email sa mga customer.
Tandaan: Ang mga pananaw na ipinahayag sa column na ito ay sa may-akda at hindi kinakailangang sumasalamin sa mga pananaw ng CoinDesk, Inc. o sa mga may-ari at kaakibat nito.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Ang French Banking Giant BPCE ay maglulunsad ng Crypto Trading para sa 2M Retail Client
Ang serbisyo ay magbibigay-daan sa mga customer na bumili at magbenta ng BTC, ETH, SOL, at USDC sa pamamagitan ng isang hiwalay na digital asset account na pinamamahalaan ng Hexarq.
What to know:
- Ang French banking group na BPCE ay magsisimulang mag-alok ng mga serbisyo ng Crypto trading sa 2 milyong retail na customer sa pamamagitan ng Banque Populaire at Caisse d'Épargne app nito, na may planong palawakin sa 12 milyong customer pagsapit ng 2026.
- Ang serbisyo ay magbibigay-daan sa mga customer na bumili at magbenta ng BTC, ETH, SOL, at USDC sa pamamagitan ng isang hiwalay na digital asset account na pinamamahalaan ng Hexarq, na may €2.99 na buwanang bayad at 1.5% na komisyon sa transaksyon.
- Ang hakbang ay sumusunod sa mga katulad na inisyatiba ng iba pang mga bangko sa Europa, tulad ng BBVA, Santander, at Raiffeisen Bank, na nagsimula nang mag-alok ng mga serbisyo ng Crypto trading sa kanilang mga customer.
