Les données clients volées à Ledger [1]en juillet dernier ont été divulguées hier sur un forum. Cette base de donnée contiendrait 1 075 382 adresses email et 272 853 adresses physiques et numéros de téléphone, dont plus de 16 000 adresses en France.
Pour savoir si votre adresse email figure dans les fichiers divulgués, rendez-vous sur haveibeenpwned.com.
Extrait du message [2] accompagnant cette divulgation : « En juillet 2020, Ledger a subi une violation de ses données après qu’une vulnérabilité de site Web a permis d’accéder aux détails de contact des clients. Le premier prix confirmé que j’ai vu pour cette base de données était de 5 BTC. Quelqu’un l’a acheté à une autre personne sur l’un des forums. Aujourd’hui, vous pouvez l’obtenir gratuitement. »
Cette divulgation a été confirmée par Ledger samedi soir :
« Aujourd’hui, nous avons été alertés de la divulgation du contenu d’une base de données clients Ledger sur Raidforum. Nous sommes en train de vérifier, mais les premiers signes nous indiquent que cela pourrait effectivement être le contenu de notre base de données e-commerce de juin 2020.
Nous étions au courant de cette violation de données, nous avons alerté les autorités, nos utilisateurs et nous combattons ces attaques. Pour plus d’informations sur cette violation, veuillez consulter notre FAQ.
C’est un euphémisme de dire que nous regrettons sincèrement cette situation. Nous prenons la confidentialité très au sérieux. Éviter de telles situations est une priorité absolue pour l’ensemble de notre entreprise, et nous avons tiré de cela de précieuses leçons qui rendront Ledger encore plus sûr. Depuis juillet, nous avons tout mis en œuvre pour rendre Ledger plus solide pour l’avenir. Nous avons embauché un nouveau directeur de la sécurité informatique. Nous renforçons encore nos systèmes déjà solides et avons revu en profondeur notre politique de données. Nous avons effectué des tests de pénétration et des analyses avec des sociétés de sécurité externes pour les tester et trouver des vulnérabilités supplémentaires sur nos systèmes de commerce électronique. Nous travaillons en permanence avec les forces de l’ordre pour poursuivre les pirates et arrêter ces fraudeurs. Nous avons supprimé plus de 170 sites Web de phishing depuis la violation initiale. Nous avons informé l’autorité française de protection des données de cette violation et travaillons avec d’autres autorités de protection des données à travers le monde. Notre équipe de support client travaille 24h / 24 et 7j / 7 pour répondre à vos questions. Nous avons mis en place une page Web partageant décrivant ces attaques de phishing afin que vous puissiez éviter de tomber dans le piège et signaler toute nouvelle attaque que vous recevez. »
Attention : Cette divulgation massive sera probablement suivie de nombreuses tentatives d’hameçonnage. Si vous êtes concerné par cette fuite, une seule règle : ne donnez jamais vos mots de récupération à quiconque, même si la demande vous semble venir de Ledger. Ledger ne vous les demandera jamais et ne vous contactera jamais ni par SMS ni par téléphone.
Pascal Gauthier, CEO le Ledger, participera aujourd’hui au podcast de Peter Mc Cormack. Andreas Antonopoulos consacrera également un live à ce sujet :
Sources : twitter.com/JimmyMcShill – twitter.com/lopp – twitter.com/Ledger
Sur le même sujet : Les mesures de Ledger pour lutter contre le phishing
[1] Société française leader mondial du marché des hardware wallets, appareils permettant de conserver en sécurité les secrets cryptographiques nécessaires à la possession et à la dépense de n’importe quelle cryptomonnaie.
[2] « Today I have uploaded the Ledger.com Database for you to download for free, thanks for reading ans enjoy! In July 2020, Ledger suffered a data breach after a website vulnerability allowed threat actors to access customers’contact details. The firt confirmed price I saw for this database was 5 BTC. Someone bought it from anonther guy on one of the forums. Today you can get it for free. »