Ibovespa Ledger, emissora de carteiras cripto, sofreu violação de segurança em junho
Nesta quarta-feira (29), Ledger, empresa que emite carteiras de hardware, afirmou ter sofrido uma violação de dados de sua base de dados de marketing e comércio on-line no fim de junho.
Informações de contato e pedidos de clientes foram expostas, mas a empresa disse que informações de pagamento e fundos com cripto não foram afetados. Clientes afetados foram notificados via e-mail, segundo a Ledger, que deu detalhes específicos da violação em uma publicação.
Ledger havia percebido a vulnerabilidade quando um pesquisador que participava do programa de caça à bugs (ou “bug bounty”) entrou em contato para falar sobre uma possível violação no site Ledger em 14 de julho.
Apesar de a Ledger afirmar ter consertado imediatamente a violação e começou uma investigação interna, descobriu que a vulnerabilidade já havia sido explorada semanas antes, em 25 de junho, quando um terceiro acessou a base de dados de marketing e comércio on-line com uma chave de interface de programação de aplicações (API, na sigla em inglês) que, em seguida, foi desativada.
Já que o ataque visava acessar a base de dados de marketing e comércio on-line, a parte ou partes por trás não conseguia acessar as frases de recuperação ou chaves privadas dos usuários.
Informações de pagamento, senhas ou fundos não foram afetados e a violação não foi relacionada às carteiras de hardware da Ledger ou aos produtos de segurança da Ledger Live, afirmou a empresa.
Porém, e-mails de cerca de um milhão de clientes foram comprometidos:
Apenas detalhes de contato e pedidos foram comprometidos. Isso totaliza endereços de e-mail de aproximadamente um milhão de nossos clientes.
Após investigações, também conseguimos descobrir que um subconjunto deles também foram expostos: primeiro nome e sobrenome, número de telefone residencial e produto(s) pedido(s).
Em um e-mail a seus clientes, Ledger disse: “seus criptoativos estão seguros, e não em perigo”.
Por esse motivo, Ledger recomenda que clientes tomem cuidado com tentativas de phishing (para roubo de informações) e reiterou que nunca pedirá pelas frases de recuperação dos usuários.
Na publicação, Ledger afirmou “lamentar extremamente” o incidente.
Levamos privacidade muito a sério. Descobrimos essa vulnerabilidade graças ao nosso programa de caça a bugs. Corrigimos imediatamente.
Porém, independente de tudo o que fizemos para evitar e consertar essa situação, pedimos desculpas sinceras pelo inconveniente que essa questão possa causá-los.
Dois dias após o pesquisador ter exposto a vulnerabilidade, Ledger enviou uma queixa à Autoridade de Proteção de Dados da França (CNIL) e, em 21 de julho, firmou uma parceria com Orange Cyberdefense (OCD) para avaliar os possíveis danos e identificar ainda mais brechas.
A empresa ainda está buscando por evidências de dados roubados sendo vendidos na internet, mas afirma não ter encontrado motivos até agora para acreditar que esse é o caso. O OCD enviou um relatório inicial em 24 de julho, mas a investigação pela CNIL ainda está acontecendo.
![[Conteúdos gratuitos] Assista ao Giro do Mercado, ao Carreiras e Afins e outros programas exclusivos em nosso Youtube](https://media.moneytimes.com.br/uploads/2024/01/banner-html-28.png)
Mais Notícias
