แฮกเกอร์มีแนวโน้มที่จะรับผิดชอบต่อการละเมิดความปลอดภัยของ Ledger ในเดือนกรกฎาคมเมื่อเร็ว ๆ นี้ได้ทิ้งข้อมูลจำนวนมากที่เปิดเผยข้อมูลส่วนบุคคลของลูกค้ากว่า 270,000 รายซึ่งรวมถึงหมายเลขโทรศัพท์และที่อยู่จริง การรั่วไหลยังรวมถึงอีเมล 1 ล้านฉบับของเจ้าของกระเป๋าเงินบัญชีแยกประเภทและลูกค้าที่ลงชื่อสมัครใช้บริการจดหมายข่าวของ บริษัท.
ท่ามกลางความโกรธเกรี้ยวที่เกิดจากเหตุการณ์ดังกล่าว Ledger กล่าวว่าการมุ่งเน้นไปที่การปรับปรุงโครงสร้างพื้นฐานด้านความปลอดภัยมากกว่าการคืนเงินให้กับผู้ใช้สำหรับความสูญเสียที่อาจเกิดขึ้น ในขณะเดียวกันมีรายงานว่าลูกค้าที่ได้รับผลกระทบบางรายกำลังพิจารณาดำเนินการทางกฎหมายกับ บริษัท ในรูปแบบของการฟ้องร้องแบบกลุ่ม.
การรั่วไหลของข้อมูลลูกค้าของบัญชีแยกประเภทยังนำเสนออาหารสดใหม่สำหรับการอภิปรายเกี่ยวกับการใช้โปรโตคอลการปฏิบัติตามข้อกำหนดของ Know Your Customer มากขึ้นซึ่งนักวิจารณ์ระบุว่ามาตรการดังกล่าวสนับสนุนการโจมตีทางไซเบอร์แบบกำหนดเป้าหมายที่มุ่งเป้าไปที่การเปิดเผยข้อมูลส่วนตัว.
รายละเอียดบัญชีส่วนบุคคลกว่า 270,000 รายถูกบุกรุก
ดังที่ได้กล่าวไปแล้วว่าแฮกเกอร์มีหน้าที่รับผิดชอบในการละเมิดฐานข้อมูลอีคอมเมิร์ซของบัญชีแยกประเภทในเดือนกรกฎาคมได้ทิ้งข้อมูลส่วนบุคคลของผู้ใช้ที่ได้รับผลกระทบหลายพันรายทางออนไลน์ บริษัท ถูกตำหนิในโซเชียลมีเดียว่าไม่ให้การปกป้องข้อมูลผู้ใช้ที่ดีขึ้นและมองข้ามขอบเขตของการละเมิดครั้งแรก ในเวลานั้นผู้ผลิตกระเป๋าเงินฮาร์ดแวร์ประกาศว่ามีลูกค้าเพียง 9,500 รายเท่านั้นที่ได้รับผลกระทบจากการละเมิดความปลอดภัย.
การจัดการกับความเหลื่อมล้ำในจำนวนผู้ได้รับผลกระทบรายงานบัญชีแยกประเภท ออก แถลงการณ์เมื่อวันที่ 21 ธันวาคมที่ประกาศว่าการรั่วไหลครอบคลุมเนื้อหามากกว่าที่จะสามารถวิเคราะห์ได้เมื่อต้นปี อย่างไรก็ตาม บริษัท ยืนยันว่าเงินของลูกค้ายังคงปลอดภัยโดยกล่าวเพิ่มเติมว่า“ การละเมิดข้อมูลนี้ไม่มีการเชื่อมโยงหรือส่งผลกระทบต่อกระเป๋าเงินฮาร์ดแวร์แอปหรือเงินของคุณ สินทรัพย์ crypto ของคุณปลอดภัย แม้ว่าจะเป็นเรื่องที่น่าเสียใจอย่างแท้จริง แต่การละเมิดนี้เกี่ยวข้องกับข้อมูลที่เกี่ยวข้องกับอีคอมเมิร์ซเท่านั้น “
Pascal Gauthier ซีอีโอของ Ledger ตอบสนองต่อเหตุการณ์ดังกล่าวผ่านทาง Twitter ตั้งข้อสังเกต การรั่วไหลดังกล่าวบ่งบอกถึงการคุกคามของการโจมตีทางอินเทอร์เน็ตที่เพิ่มมากขึ้น ปรากฏในพอดคาสต์ Bitcoin ทำอะไรกับ Peter McCormack, Gauthier แสดงความคิดเห็น เกี่ยวกับลักษณะของการละเมิดโดยระบุว่าเป็นผลมาจากความผิดพลาดในกองอีคอมเมิร์ซของ บริษัท.
“ มันเป็นคีย์ API ที่ไม่ถูกต้องซึ่งได้รับการเข้ารหัสบนไคลเอนต์แผนที่เพื่อนำเข้าฐานข้อมูลจากร้านค้าที่ได้รับการเข้ารหัสในตำแหน่งที่ไม่ถูกต้องดังนั้นจึงได้รับการเข้ารหัสในที่ที่ไม่ควรเข้ารหัสและทำให้ฐานข้อมูลถูกโจมตีง่ายๆ ” Gauthier อธิบาย.
ท่ามกลางปฏิกิริยาต่อการรั่วไหลผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์บางคนได้เน้นย้ำว่าเหตุการณ์ดังกล่าวเป็นอีกหนึ่งตัวชี้ให้เห็นว่าผู้ดูแลระบบฐานข้อมูลขาดการใช้งานการเข้ารหัสในการจัดเก็บข้อมูลผู้ใช้ ซีอีโอของ Ledger กล่าวถึงการขาดการเข้ารหัสบนคีย์ API โดยเสริมว่ามันเป็นความผิดพลาดโดยสุจริตและไม่ใช่ความพยายามโดยเจตนาที่จะเป็นอันตรายต่อความปลอดภัยของลูกค้าด้วยการไม่แฮชคีย์ API.
Ruben Merre ซีอีโอของ NGRAVE ผู้ผลิตกระเป๋าเงินฮาร์ดแวร์ให้ความเห็นเกี่ยวกับการรั่วไหลว่าเหตุการณ์ดังกล่าวสะท้อนให้เห็นถึงการเติบโตอย่างรวดเร็วของ บริษัท crypto ที่ต้องเสียค่าใช้จ่ายในการพิจารณาด้านความปลอดภัย เขากล่าวเสริมว่า:“ แพลตฟอร์มออนไลน์จำนวนมากถูกแฮ็กและไม่จำเป็นต้องเป็นเพราะฝีมือของแฮกเกอร์ บ่อยครั้งที่แพลตฟอร์มมีการกำกับดูแลความปลอดภัยที่ไม่ดีนับประสาอะไรกับการนำไปใช้ “
‘Scareware’ และปัจจัยเสี่ยงอื่น ๆ
การรั่วไหลของข้อมูลทำให้เกิดการโจมตีแบบฟิชชิงอีกรอบในฐานะนักแสดงที่ฉ้อฉลซึ่งตอนนี้ติดอาวุธด้วยอีเมลของผู้ใช้บัญชีแยกประเภทพยายามหลอกให้ลูกค้าของกระเป๋าเงินเปิดเผยวลีเมล็ดพันธุ์ 24 คำของพวกเขา ก่อนที่จะมีการถ่ายโอนข้อมูลอีเมลปลอมดังกล่าวก็เกิดขึ้นเป็นประจำ.
อย่างไรก็ตามการเปิดเผยหมายเลขโทรศัพท์และที่อยู่ส่วนบุคคลอาจทำให้ผู้ใช้บัญชีแยกประเภทมีปัจจัยเสี่ยงมากขึ้น ผู้ใช้บางรายรายงานว่ามีความพยายามในการแลกเปลี่ยนซิมที่โจมตีหมายเลขของพวกเขาโดยที่แฮ็กเกอร์คาดว่าจะพยายามประนีประนอมโปรโตคอลการให้สิทธิ์แบบสองปัจจัย.
นักลงทุน Crypto เคยตกเป็นเป้าหมายของการโจมตีการแลกเปลี่ยนซิมในอดีต ย้อนกลับไปในเดือนมิถุนายน Richard Yuan Li ถูกตั้งข้อหาสมรู้ร่วมคิดในการฉ้อโกงทางสายซึ่งเกี่ยวข้องกับการโจมตีด้วยการแลกเปลี่ยนซิมหลายครั้งซึ่งมีเป้าหมายมากกว่า 20 คน.
นอกเหนือจากการหาประโยชน์จากฟิชชิ่งและการแลกเปลี่ยนซิมแล้วการรั่วไหลของข้อมูลยังเปิดโอกาสให้ปัจจัยเสี่ยงที่เคลื่อนย้ายนอกเหนือจาก scareware เข้าสู่ขอบเขตของการโจมตีทางกายภาพที่แท้จริง อันที่จริงผู้ใช้บางรายที่ได้รับผลกระทบจากเหตุการณ์อ้างว่าได้รับข้อความข่มขู่ขอให้ชำระเงินหรือเสี่ยงต่อการถูกบุกรุกที่บ้าน.
ซีอีโอของ Ledger ได้รับทราบถึงความเป็นไปได้ของการโจมตีทางกายภาพอันเป็นผลมาจากการกำกับดูแลของ บริษัท และยังให้ความมั่นใจกับผู้ใช้ว่าอุปกรณ์กระเป๋าเงินฮาร์ดแวร์ของพวกเขามีโปรโตคอลป้องกันหลายอย่างเพื่อป้องกันการขโมยเงิน มาตรการรักษาความปลอดภัยเหล่านี้คือการใช้รายการรหัสพินที่ไม่ถูกต้องเพื่อจัดรูปแบบอุปกรณ์หรือรหัสผ่านที่สองที่แสดงบัญชีจำลองเพื่อให้เงินจริงของเจ้าของปลอดภัยจากผู้ไม่หวังดี.
นอกจากนี้ไฟล์ ฉันทามติ ในบรรดาผู้เชี่ยวชาญด้านความปลอดภัยบนโซเชียลมีเดียคือผู้บริโภคควรใช้ที่อยู่ตู้ไปรษณีย์หรือสถานที่รับสินค้าสาธารณะอื่น ๆ แทนที่จะใช้ที่อยู่บ้านจริงสำหรับสินค้าที่ละเอียดอ่อนเช่นกระเป๋าเงินแยกประเภท สำหรับผู้ที่มีหมายเลขโทรศัพท์ที่ถูกบุกรุกสิ่งที่ดีที่สุดคือการได้รับหมายเลขใหม่และใช้ที่อยู่อีเมลใหม่เพื่อแจ้งการเปลี่ยนแปลงกับผู้ติดต่อที่สำคัญ.
ในขณะที่ลูกค้าที่ได้รับผลกระทบยังคงจัดการกับการรั่วไหลของการรั่วไหล แต่ Ledger กล่าวว่ากำลังดำเนินการเพื่อป้องกันไม่ให้เกิดขึ้นอีก ในแถลงการณ์ของ Cointelegraph บริษัท ระบุว่า:
“ เรากำลังทำทุกวิถีทางเพื่อยุติการโจมตีเหล่านี้และหลีกเลี่ยงสถานการณ์เช่นนี้ในอนาคต Ledger มีมาตรการที่ใช้ในการปกป้องผู้ใช้ของเราจากการตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง เราได้ตั้งค่าหน้าเว็บที่แบ่งปันลักษณะทางกายวิภาคของการโจมตีแบบฟิชชิงเพื่อให้ผู้ใช้สามารถหลีกเลี่ยงการตกเป็นเหยื่อของพวกเขาและรายงานการโจมตีใหม่ ๆ ได้”
ผู้ใช้ที่ได้รับผลกระทบคุกคามการดำเนินการทางกฎหมาย
ผู้ใช้ที่ได้รับผลกระทบบางรายเริ่มเรียกร้องให้ดำเนินการทางกฎหมายกับบัญชีแยกประเภททันทีหลังจากรายงานรั่วไหล แม้กระทั่ง subreddit“ กระเป๋าเงินบัญชีแยกประเภทรั่ว” บนแพลตฟอร์ม Reddit ซึ่งผู้ใช้กำลังพูดคุยเกี่ยวกับรูปแบบที่เป็นไปได้สำหรับคดีฟ้องร้องแบบคลาส.
Ledger มีสำนักงานใหญ่ในปารีสอยู่ภายใต้กฎหมายของสหภาพยุโรป ในเดือนพฤศจิกายนรัฐสภายุโรป เป็นลูกบุญธรรม การแก้ไขกฎหมายที่จะอนุญาตให้ลูกค้าในสหภาพยุโรปสามารถฟ้องร้องดำเนินคดีแบบกลุ่มกับ บริษัท ที่ดำเนินงานในภูมิภาคได้ภายในสองปีข้างหน้า.
ตามคำตัดสินในเวลานั้นเมื่อผ่านกฎหมายแล้วสามารถฟ้องร้องดำเนินคดีแบบกลุ่มต่อ บริษัท ที่ดำเนินงานในสหภาพยุโรปสำหรับคดีที่เกี่ยวข้องกับบริการทางการเงินการท่องเที่ยวและการคุ้มครองข้อมูลและอื่น ๆ.
ลูกค้าในสหภาพยุโรปของ Ledger จะต้องมีหน่วยงานคุ้มครองผู้บริโภคที่มีคุณสมบัติเหมาะสมหรือหน่วยงานที่ได้รับการยอมรับอื่น ๆ เพื่อเป็นตัวแทนของผู้ร้องเรียน อย่างไรก็ตามไม่เหมือนกับกฎหมายของสหรัฐอเมริกาความเสียหายเชิงลงโทษจากการฟ้องร้องดำเนินคดีแบบกลุ่มของสหภาพยุโรปนั้น จำกัด อยู่ที่ความสูญเสียที่เกิดขึ้นจริงโดยชั้นของโจทก์.
นอกเหนือจากลูกค้าที่ยื่นฟ้อง บริษัท แล้วการรั่วไหลของข้อมูลอาจถือเป็นการละเมิดความเป็นส่วนตัวในสายตาของหน่วยงานกำกับดูแลของยุโรปโดยเฉพาะภายใต้กฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป ในสถานการณ์เช่นนี้สหภาพยุโรปสามารถปรับบัญชีแยกประเภทได้ถึง 4% ของรายได้.
อันที่จริงเนื่องจาก CEO ของ Ledger ยอมรับว่า บริษัท ไม่เปิดเผยข้อมูลผู้ใช้อย่างไม่เหมาะสม บริษัท อาจถูกตรวจสอบข้อเท็จจริงจากเจ้าหน้าที่ของสหภาพยุโรป Recital 26 ของ GDPR เอกสาร ทุก บริษัท เพื่อให้แน่ใจว่าจะลบข้อมูลทั้งหมดที่สามารถระบุตัวผู้ใช้ออกจากแคชของข้อมูลที่จัดเก็บหรือประมวลผลได้อย่างสมบูรณ์.