Accueil Cybersécurité Violation de données chez Ledger via une clé API

Violation de données chez Ledger via une clé API

Une attaque du site spécialiste des portefeuilles de cryptomonnaie a donné accès à 1 million de mails de ses clients. Des données supplémentaires de 9 500 clients ont aussi fuité.

Le 14 juillet 2020, un chercheur participant à notre bug bounty nous a fait part d’une éventuelle violation de données sur le site Web de Ledger. Nous avons immédiatement corrigé cette violation après avoir reçu le rapport du chercheur et diligenté une enquête interne“, indique un communiqué sur le site spécialiste des portefeuilles de cryptomonnaie.
L’entreprise s’est associée à Orange Cyberdefense pour évaluer les dommages potentiels de la violation de données. 

Si la faille a été corrigée suite à sa découverte, selon l’entreprise, une semaine après avoir corrigé la faille, “elle avait été davantage exploitée le 25 juin 2020, par un tiers non autorisé qui a accédé à notre base de données de commerce électronique et de marketing – utilisée pour envoyer des confirmations de commande et des e-mails promotionnels – constitués principalement d’adresses e-mail.”  Mais, un sous-ensemble de données constitués des détails de contact et de commande tels que le prénom et le nom, l’adresse postale et mail, ainsi que le numéro de téléphone faisaient aussi partie de cette base de données accessible. Les adresses e-mails touchés sont au nombre de 1 million, soit la moitié des clients. En ce qui concerne le sous-ensemble de données, 9 500 clients ont été exposés.

Les informations de paiement et les fonds cryptographiques “sont en sécurité“, précise l’entreprise. “Aucune information de paiement, aucun identifiant (mot de passe), n’étaient concernés par cette violation de données. Cela n’a affecté que les coordonnées de nos clients“, indique la société.

L’entreprise a notifié l’attaque à la Cnil le 17 juillet.