Das französische Unternehmen Ledger – bekannt für den Vertrieb von Hardware-Wallet Lösungen für die Verwahrung von Kryptowährungen – erlitt einen schweren Hackerangriff auf seine Marketing- und E-Commerce-Datenbank. Hacker erschlichen sich Kundeninformationen von mindestens einer Million Nutzer.
Mit seinen USB-Stick-Hardware-Wallets zählt die französische Firma zu den wichtigsten Anbietern, um Kryptowährungen wie Bitcoin, Ethereum oder XRP (Ripple) sicher offline zu speichern. Wie das Unternehmen am Mittwoch mitteilte, wurde nun ein Hack der Kundendatenbank entdeckt. Etwa eine Million E-Mail-Adressen wurden entwendet. Von 9500 Kunden konnten die Angreifer offenbar nicht nur die E-Mail-Adressen, sondern auch persönliche Informationen wie etwa Name, Adresse und Telefonnummer erbeuten.
Leck existierte bereits seit Wochen
Die 9500 betroffenen Kunden wurden Ledger zufolge heute (30.07.2020) per E-Mail über den Verstoß informiert – mit weiteren Details zu den erbeuteten Daten. In einem separaten Blog-Beitrag führt das Unternehmen aus, dass „ein Beauftragter der Firma“ über ein Bug-Bounty-Programm am 14. Juli das Datenleck entdeckte. Bei diesen Programmen wird das Finden von Fehlern oder Schwachstellen in Form einer Zahlung honoriert. Ledger bestätigte außerdem, dass das Datenleck bereits seit dem 25. Juni existierte. So hatten Dritte mit einem API-Schlüssel Zugriff auf die Marketing- und E-Commerce-Datenbank. Das Unternehmen deaktivierte den Schlüssel aber nach Bekanntwerden des Hacks.
Eine Millionen Datensätze erbeutet
Hacker gelang es, auf ca. eine Millionen E-Mail-Adressen sowie weiterer Kundendaten zuzugreifen. Zahlungsinformationen, Anmeldedaten (Login-Passwörter) oder Krypto-Assets sind von dem Hack allerdings nicht betroffen, so das Unternehmen. Die Datenverletzung hat keine Auswirkungen auf die Hardware-Wallets selbst oder die Ledger Live-Anwendung – die korrekte Funktion dieser kann der Autor bestätigen.
Das Unternehmen twitterte, dass die „Krypto-Guthaben [der Ledger Benutzer] sicher und nicht in Gefahr“ seien.
In dem Blog-Beitrag äußert sich Ledger zu den Vorfällen wie folgt:
Regarding your ecommerce data, no payment information, no credentials (passwords), were concerned by this data breach. It solely affected our customers’ contact details.
This data breach has no link and no impact whatsoever with our hardware wallets nor Ledger Live security and your crypto assets, which are safe and have never been in peril. You are the only one in control and able to access this information.
Angst vor Phishing-Attacken
Der Vorfall sei „äußerst bedauerlich“, schreibt Ledger CEO Paul Gauthier in einem Brief an die Nutzer. Er warnt sie außerdem davor, dass dem Angriff mögliche Phishing-Versuche folgen könnten. Er schreibt:
Wir nehmen den Datenschutz sehr ernst. Dank unseres Bug Bounty-Programms haben wir diese Lecks entdeckt und sofort geschlossen. Ungeachtet all dessen, was wir getan haben, um diese Situation zu vermeiden, entschuldigen wir uns aufrichtig für die Unannehmlichkeiten, die durch dieses Ereignis entstehen könnten.
Ein Artikel zum Thema Phishing wird auf der Webseite ebenfalls verlinkt um die Nutzer diesbzüglich zu sensibilisieren.
Französische Datenschutzbehörde CNIL analysiert den Vorfall
Zwei Tage nachdem das Daten-Leck aufgedeckt wurde (21. Juli), wandte sich Ledger an die französische Datenschutzbehörde Commission nationale de l’informatique et des libertés (CNIL), um die potenziellen Schäden genau zu bewerten. Die Untersuchung durch die CNIL dauert an.