Depuis la fuite de plus de 272 000 dossiers de clients comportant des adresses mail et des adresses physiques, Ledger a connu une période difficile au moment où le Bitcoin n’a jamais été aussi populaire. Cette semaine, comme si cela n’était pas suffisant, la startup française a appris qu’une autre fuite s’était produite l’année dernière. Elle concernerait toujours la base client, mais aurait été provoquée par son partenaire Shopify.
Ledger a publié un compte rendu de la situation, faisant le point sur cette nouvelle fuite, l’historique en détail sur celle du mois de décembre dernier, et des conclusions sur les changements qui seraient apportés par l’entreprise dans la gestion des données personnelles. En outre, Ledger a créé une adresse BTC de 10 bitcoins (l’équivalent de plus de 370 000 dollars) comme prime à celui qui aidera la startup à identifier les malveillants de la première (et plus importante) attaque qui aurait pu lui coûter la peau.
Nouvelle fuite
Histoire de limiter la casse, Ledger semble avoir décidé de noyer quelque peu le morceau : une nouvelle fuite a pourtant bien été révélée cette semaine, et concerne bien ses clients. Elle n’est pas de la même nature que la précédente néanmoins. Selon le communiqué de la startup, il s’agirait d’une fuite faisant suite à la série de problèmes qu’a connus son partenaire de services de commerce électronique Shopify.
« Le 23 décembre 2020, nous avons reçu une notification de Shopify, concernant un incident impliquant des données marchandes au cours duquel des membres voyous de leur équipe d’assistance ont obtenu des enregistrements transactionnels de clients, y compris Ledger. Le ou les agents ont exporté illégalement les enregistrements transactionnels des clients en avril et juin 2020 » écrit Ledger, ajoutant que « jusqu’au 21 décembre 2020, Shopify n’avait pas découvert que Ledger a également été visé dans cette attaque. Shopify nous dit qu’ils ont engagé des experts et des avocats ».
Les enregistrements « transactionnels » en question concernent là encore les formulaires d’achat de son produit, la clé Nano, un portefeuille physique pour stocker ses crypto-monnaies. Les deux entreprises reconnaissent avec transparence que des adresses mail, des adresses postales, des numéros de téléphone et le nom et prénom des contacts ont été divulgués, à hauteur de 20 000 dossiers. Selon le rapport, la fuite remonterait entre le mois d’avril et de juin 2020.
Prime de 10 bitcoins et mesures de sécurité
Les conséquences de cette nouvelle faille se sont déjà produites, très certainement, pour les clients concernés. Les informations ont déjà fuité depuis un moment. Comme toujours, il est important de rappeler que les codes secrets à 24 mots ne doivent jamais être révélés à qui que ce soit, et en aucun cas à Ledger par la voie d’un SMS ou d’un mail.
Maintenant, Ledger a conscience que de nombreux clients seront très déçus d’une telle mésaventure et craindront pour leur portefeuille. Un premier élément concret a enfin été donné par l’entreprise française en tant que leçon pour les prochains temps : sa plateforme souhaite supprimer le plus rapidement possible les informations clients lors de leurs commandes afin de ne conserver aucune de ces informations susceptibles d’être piratées.
Lire aussi : comment déclarer ses crypto-monnaies en 2021
Aussi, messages de sécurité ou de l’ordre technique proactif seront communiqués via l’application Ledger Live uniquement. Cela veut dire que la voie du courrier électronique ou tout autre moyen de communication alternatif sera réduit au strict minimum par Ledger – uniquement pour des messages marketing d’annonces de produits. Rien qui ne regarderait donc directement le compte du client, afin de pouvoir reconnaître plus facilement un mail de phishing et toute autre arnaque.
Enfin, Ledger vient de créer l’adresse BTC (bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc), comportant un montant de 10 bitcoins (aux alentours de 385 000 dollars actuellement), qui sera une prime déversée à qui permettra d’identifier ou donner des informations pour aider dans l’enquête derrière la fuite des données du mois de juillet, aggravée en décembre. L’entreprise précise que la récompense sera décernée pour des informations récupérées légalement.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
