هک دیتابیس کیف پول سخت افزاری لجر؛ سرقت اطلاعات بیش از یک میلیون کاربر!
شرکت کیف پول سختافزاری لجر (Ledger) در روز چهارشنبه گفت که در اواخر ماه ژوئن با هک دیتابیس بخش بازاریابی و تجارت الکترونیکی خود مواجه شده است.
اطلاعات سفارش و تماس مشتریان هک شدند اما این شرکت بیان کرد که اطلاعات پرداخت و سرمایههای ارز دیجیتال آنها تحت تاثیر این هک قرار نگرفتهاند. طبق گفته لجر، مشتریانی که اطلاعات آنها لو رفته است از طریق ایمیل مطلع خواهند شد.
لجر ابتدا این آسیبپذیری را هنگامی شناسایی کرد که یکی از محققان حاضر در این شرکت در تاریخ ۱۴ جولای متوجه نفوذ در وبسایت خود شد. اگرچه لجر گفت سریعا این آسیبپذیری را اصلاح کرده و بررسیها در این خصوص را آغاز کرده است، اما در ادامه متوجه شد که چند هفته قبل در تاریخ ۲۵ ژوئن از این آسیبپذیری استفاده شده است که طی آن، شخص ثالثی با استفاده از کلید API به دیتابیس بخش بازاریابی و تجارت الکترونیکی دسترسی یافته است.
از آنجایی که این حمله، بخش بازاریابی و تجارت الکترونیکی را مورد هدف قرار داده بود، شخص یا اشخاص پشت این حمله نتوانستند به عبارت بازیابی یا کلیدهای خصوصی کاربران دسترسی پیدا کنند. اطلاعات پرداخت، رمز عبور و سرمایهها تحت تاثیر این حمله قرار نگرفتند و این نفوذپذیری به کیف پول سختافزاری لجر یا محصول امنیتی لجر لایو (Ledger Live) مرتبط نبوده است.
با این حال، ایمیل تقریبا یک میلیون کاربر لو رفته است. لجر در این خصوص خاطرنشان کرد:
فقط اطلاعات سفارشات و تماس در این حمله مورد هدف قرار گرفتهاند که احتمالا شامل آدرس ایمیل تقریبا یک میلیون از مشتریان ما میباشد. در بررسیهای بعدی متوجه شدیم که اطلاعاتی نظیر نام و نام خانوادگی، آدرس پستی، شماره تماس و محصولات سفارش داده شده مشتریان نیز لو رفته است.
لجر طی ایمیلی به مشتریان خود گفت:
ارزهای دیجیتال شما ایمن هستند و خطری آنها را تهدید نمیکند.
به این دلیل، لجر به مشتریان خود توصیه کرد که مراقب حملات فیشینگ باشند و تاکید کرد که این شرکت هرگز از مشتریان و کاربران خود، عبارت بازیابی آنها را درخواست نخواهد کرد.
لجر طی پست رسمی خود گفت که از وقوع این رویداد بسیار متاسف است.
لجر در این خصوص گفت:
برای ما حفظ حریم خصوصی بسیار مهم است. ما به لطف برنامه کشف باگ خود، این آسیبپذیری را پیدا و سریعا آن را اصلاح کردیم. اما فارغ از تمام اقدامات ما برای اجتناب از وقوع این شرایط و اصلاح آن، صمیمانه به علت ناراحتی پیش آمده برای شما معذرت میخواهیم.
دو روز پس از کشف این آسیبپذیری، لجر گزارشی به نهاد محافظت از اطلاعات و دادههای کشور فرانسه به اسم CNIL ارائه داد و تا تاریخ ۲۱ جولای را نهاد OCD همکاری کرد تا خسارتهای وارده را ارزیابی کرده و آسیبپذیریهای آتی را شناسایی کند.
این شرکت همچنان به دنبال آن است که آیا اطلاعات سرقت شده در اینترنت فروخته شده اند یا خیر، اما تاکنون مدرکی در خصوص وقوع این امر پیدا نکرده است. نهاد OCD در تاریخ ۲۴ جولای، گزارش اولیهای ارائه داد اما بررسیهای CNIL همچنان ادامه دارد.