لجر (Ledger) کیف پول سخت افزاری شناختهشده فرانسوی طی بیانیهای اعتراف کرد که در ۱۷ ژوئن با نقض امنیتی مواجه شده که ظاهراً به «طرف سوم» اجازه دسترسی به جزئیات تماس حداقل ۱ میلیون کاربر را داده است.
این شرکت در حساب توییتر خود اعلام کرد که پایگاه داده بازاریابی و تجارت الکترونیکیاش هک شده و جزئیات تماس مشتریان و اطلاعات سفارشها منتشر شده است؛ با این حال لجر ادعا میکند دارایی رمز ارز یا اطلاعات تراکنش مشتریان دست نخورده باقی مانده است.
لجر دیروز با ارسال ایمیل به مشتریان خود، درباره این موضوع اطلاع رسانی کرد. این شرکت همچنین در پستی جداگانه اعلام کرد که از طریق فردی که در برنامه بانتی مشارکت دارد، در تاریخ ۱۴ جولای از این نقص امنیتی مطلع شده است.
ضمناً لجر اعلام کرده است:
دارایی شما سالم و دست نخورده و کاملاً در اختیار خود شما است.
لجر همچنین در حساب توییتر خود اعلام کرد:
به سرعت تحقیقات را در این زمینه آغاز و مشکل را برطرف کردهایم.
با این حال مقیاس این رخنه امنیتی در خور توجه است. این شرکت طی پستی اعلام کرده است که:
از درز احتمالی یک میلیون ایمیل آدرس موجود در این پایگاه داده باخبریم و میدانیم که جزئیات اطلاعات شخصی ۹۵۰۰ کاربر از جمله نام و نام خانوادگی، شماره تلفن، آدرس پستی و خرید محصول فاش شده است. اکنون در حال جمع آوری جزئیات بیشتری هستیم تا با ایمیل به این افراد اطلاع دهیم. افراد مرتبط با این موضوع در ساعت ۱۵:۰۰ (UTC) ایمیلی اختصاصی دریافت خواهند کرد.
این شرکت پیکربندی ضعیف API را دلیل این امر عنوان کرده که به شخص ثالث اجازه دسترسی بدون مجوز به اطلاعات و سفارشهای مشتریان را داده است.
به نظر میرسد روابط عمومی این شرکت با اعلام این که رمز ارزهای مشتریان دست نخورده باقی مانده و فقط آدرس ایمیلها منتشر شده است، توانسته پیامدهای ناخوشایند این اتفاق را محدود سازد.
پاسکال گوتیر (Pascal Gauthier) مدیر عامل لجر در نامهای به مشتریان به آنان هشدار داده تا گوش به زنگ حملات فیشینگ که متعاقب نفوذهای امنیتی اتفاق میافتد باشند.
این شرکت اظهار داشت:
معمولترین حملهای که فرد کلاهبردار بعد از دسترسی به آدرسهای ایمیل انجام میدهد فیشینگ است؛ بنابراین به مشتریان خود شدیداً توصیه میکنیم مسایل ایمنی را رعایت کنند و به یاد داشته باشند که لجر هیچوقت از آنان عبارت ۲۴ کلمهای بازیابی را درخواست نمیکند. تمام افرادی که از شما اطلاعات مالی میپرسند را به عنوان کلاهبردارهای بالقوه در نظر بگیرید.
گوتیر ضمناً اعلام کرده است که لجر با سازمان امنیت اطلاعات فرانسه (the Commission nationale de l’informatique et des libertes or CNIL) در تماس است و «فرایند قانونی را از طریق مسئولین پیگیری میکند».
گوتیر نوشته است:
به طور مستمر شواهد افشای اطلاعات مشتریان خود را در اینترنت رصد میکنیم و تا این لحظه موردی یافت نشده است. در ضمن تست نفوذ در داخل شرکت را هم به اجرا در آوردهایم.
مدیر عامل لجر ضمناً اظهار داشت:
اعلام نظر بیشتر را به تأخیر میاندازیم تا اطلاعات کافی و ضروری برای مراحل قانونی را در اختیار داشته باشیم.
منبع: cryptonews.com
[…] […]