هک دیتابیس کیف پول سخت افزاری لجر؛ سرقت اطلاعات بیش از یک میلیون کاربر!

شرکت کیف پول سخت‌افزاری لجر (Ledger) در روز چهارشنبه گفت که در اواخر ماه ژوئن با هک دیتابیس بخش بازاریابی و تجارت الکترونیکی خود مواجه شده است.

اطلاعات سفارش و تماس مشتریان هک شدند اما این شرکت بیان کرد که اطلاعات پرداخت و سرمایه‌های ارز دیجیتال آنها تحت تاثیر این هک قرار نگرفته‌اند. طبق گفته لجر، مشتریانی که اطلاعات آنها لو رفته است از طریق ایمیل مطلع خواهند شد.

لجر ابتدا این آسیب‌پذیری را هنگامی شناسایی کرد که یکی از محققان حاضر در این شرکت در تاریخ ۱۴ جولای متوجه نفوذ در وبسایت خود شد. اگرچه لجر گفت سریعا این آسیب‌پذیری را اصلاح کرده و بررسی‌ها در این خصوص را آغاز کرده است، اما در ادامه متوجه شد که چند هفته قبل در تاریخ ۲۵ ژوئن از این آسیب‌پذیری استفاده شده است که طی آن، شخص ثالثی با استفاده از کلید API به دیتابیس بخش بازاریابی و تجارت الکترونیکی دسترسی یافته است.

از آنجایی که این حمله، بخش بازاریابی و تجارت الکترونیکی را مورد هدف قرار داده بود، شخص یا اشخاص پشت این حمله نتوانستند به عبارت بازیابی یا کلیدهای خصوصی کاربران دسترسی پیدا کنند. اطلاعات پرداخت، رمز عبور و سرمایه‌ها تحت تاثیر این حمله قرار نگرفتند و این نفوذپذیری به کیف پول سخت‌افزاری لجر یا محصول امنیتی لجر لایو (Ledger Live) مرتبط نبوده است.

با این حال، ایمیل تقریبا یک میلیون کاربر لو رفته است. لجر در این خصوص خاطرنشان کرد:

لجر طی ایمیلی به مشتریان خود گفت:

به این دلیل، لجر به مشتریان خود توصیه کرد که مراقب حملات فیشینگ باشند و تاکید کرد که این شرکت هرگز از مشتریان و کاربران خود، عبارت بازیابی آنها را درخواست نخواهد کرد.

لجر طی پست رسمی خود گفت که از وقوع این رویداد بسیار متاسف است.

لجر در این خصوص گفت:

دو روز پس از کشف این آسیب‌پذیری، لجر گزارشی به نهاد محافظت از اطلاعات و داده‌های کشور فرانسه به اسم CNIL ارائه داد و تا تاریخ ۲۱ جولای را نهاد OCD همکاری کرد تا خسارت‌های وارده را ارزیابی کرده و آسیب‌پذیری‌های آتی را شناسایی کند.

این شرکت هم‌چنان به دنبال آن است که آیا اطلاعات سرقت شده در اینترنت فروخته شده اند یا خیر، اما تاکنون مدرکی در خصوص وقوع این امر پیدا نکرده است. نهاد OCD در تاریخ ۲۴ جولای، گزارش اولیه‌ای ارائه داد اما بررسی‌های CNIL هم‌چنان ادامه دارد.