هک دیتابیس کیف پول سخت افزاری لجر؛ سرقت اطلاعات بیش از یک میلیون کاربر!

شرکت کیف پول سخت‌افزاری لجر (Ledger) در روز چهارشنبه گفت که در اواخر ماه ژوئن با هک دیتابیس بخش بازاریابی و تجارت الکترونیکی خود مواجه شده است.

اطلاعات سفارش و تماس مشتریان هک شدند اما این شرکت بیان کرد که اطلاعات پرداخت و سرمایه‌های ارز دیجیتال آنها تحت تاثیر این هک قرار نگرفته‌اند. طبق گفته لجر، مشتریانی که اطلاعات آنها لو رفته است از طریق ایمیل مطلع خواهند شد.

لجر ابتدا این آسیب‌پذیری را هنگامی شناسایی کرد که یکی از محققان حاضر در این شرکت در تاریخ ۱۴ جولای متوجه نفوذ در وبسایت خود شد. اگرچه لجر گفت سریعا این آسیب‌پذیری را اصلاح کرده و بررسی‌ها در این خصوص را آغاز کرده است، اما در ادامه متوجه شد که چند هفته قبل در تاریخ ۲۵ ژوئن از این آسیب‌پذیری استفاده شده است که طی آن، شخص ثالثی با استفاده از کلید API به دیتابیس بخش بازاریابی و تجارت الکترونیکی دسترسی یافته است.

از آنجایی که این حمله، بخش بازاریابی و تجارت الکترونیکی را مورد هدف قرار داده بود، شخص یا اشخاص پشت این حمله نتوانستند به عبارت بازیابی یا کلیدهای خصوصی کاربران دسترسی پیدا کنند. اطلاعات پرداخت، رمز عبور و سرمایه‌ها تحت تاثیر این حمله قرار نگرفتند و این نفوذپذیری به کیف پول سخت‌افزاری لجر یا محصول امنیتی لجر لایو (Ledger Live) مرتبط نبوده است.

با این حال، ایمیل تقریبا یک میلیون کاربر لو رفته است. لجر در این خصوص خاطرنشان کرد:

فقط اطلاعات سفارشات و تماس در این حمله مورد هدف قرار گرفته‌اند که احتمالا شامل آدرس ایمیل تقریبا یک میلیون از مشتریان ما می‌باشد. در بررسی‌های بعدی متوجه شدیم که اطلاعاتی نظیر نام و نام خانوادگی، آدرس پستی، شماره تماس و محصولات سفارش داده شده مشتریان نیز لو رفته است.

لجر طی ایمیلی به مشتریان خود گفت:

ارزهای دیجیتال شما ایمن هستند و خطری آنها را تهدید نمی‌کند.

به این دلیل، لجر به مشتریان خود توصیه کرد که مراقب حملات فیشینگ باشند و تاکید کرد که این شرکت هرگز از مشتریان و کاربران خود، عبارت بازیابی آنها را درخواست نخواهد کرد.

لجر طی پست رسمی خود گفت که از وقوع این رویداد بسیار متاسف است.

لجر در این خصوص گفت:

برای ما حفظ حریم خصوصی بسیار مهم است. ما به لطف برنامه کشف باگ خود، این آسیب‌پذیری را پیدا و سریعا آن را اصلاح کردیم. اما فارغ از تمام اقدامات ما برای اجتناب از وقوع این شرایط و اصلاح آن، صمیمانه به علت ناراحتی پیش‌ آمده برای شما معذرت می‌خواهیم.

دو روز پس از کشف این آسیب‌پذیری، لجر گزارشی به نهاد محافظت از اطلاعات و داده‌های کشور فرانسه به اسم CNIL ارائه داد و تا تاریخ ۲۱ جولای را نهاد OCD همکاری کرد تا خسارت‌های وارده را ارزیابی کرده و آسیب‌پذیری‌های آتی را شناسایی کند.

این شرکت هم‌چنان به دنبال آن است که آیا اطلاعات سرقت شده در اینترنت فروخته شده اند یا خیر، اما تاکنون مدرکی در خصوص وقوع این امر پیدا نکرده است. نهاد OCD در تاریخ ۲۴ جولای، گزارش اولیه‌ای ارائه داد اما بررسی‌های CNIL هم‌چنان ادامه دارد.