Une brèche dans la sécurité de l’entreprise de commerce électronique Shopify a exposé des données personnelles appartenant aux clients d’environ 200 de ses commerçants.
Parmi les personnes touchées figurent les clients de Ledger, le fabricant de portefeuilles électroniques (ou wallets) de cryptomonnaies. Il s’agit de la deuxième fois en peu de temps que des clients de Ledger ont vu leurs informations personnelles potentiellement exposées.
Bien que la plupart des données soient les mêmes que celles de la faille de sécurité initiale de Ledger l’année dernière, les personnes étant à l’origine de la fuite de Shopify ont obtenu 20 000 dossiers supplémentaires de clients.
20 000 clients supplémentaires de Ledger se retrouvent exposés
Comme BeInCrypto l’a rapporté l’année dernière, une fuite massive des données du fabricant de wallet crypto Ledger a entraîné le vol des informations personnelles d’environ 270 000 clients. En décembre, les données ont été retrouvées en ligne sur un forum public.
Ledger a d’abord minimisé l’importance de la fuite, déclarant que l’incident initial de juin 2020 n’avait touché que 9 500 utilisateurs. La publication des données a toutefois indiqué le contraire.
Les noms, adresses postales et courriels des clients ayant été divulgués, de nombreuses tentatives d’hameçonnage ont depuis été signalées. Certains utilisateurs ont même fait état de tentatives d’extorsion impliquant des menaces de mort.
Ce mercredi 13 janvier, Ledger a révélé une nouvelle fuite de ses données, ce qui semble devenir une tendance dans les écueils du milieu crypto. Dans un billet publié sur le blog de l’entreprise, celle-ci a révélé qu’elle faisait partie des commerçants touchés par un incident de sécurité survenu chez la société multinationale de commerce électronique Shopify.
Récemment, nous avons fait part d’une divulgation de données. Le 23 décembre, nous avons été alertés par notre fournisseur de commerce électronique Shopify au sujet d’un incident survenu en avril et juin 2020, au cours duquel des membres malhonnêtes de leur équipe ont exporté les bases de données clients de certains commerçants. Ledger en faisait partie.
Selon un article du site web de Shopify détaillant l’incidant, deux “membres malhonnêtes” de l’équipe de support de l’entreprise ont volé les relevés de transactions d’environ 200 commerçants.
L’incident de Shopify a été révélé pour la première fois le 22 septembre 2020, mais le personnel maintenant licencié a “exporté illégalement” des données en avril et en juin dernier. Cependant, Ledger affirme n’avoir été informé de la fuite impliquant ses clients que le 23 décembre.
Shopify travaillerait avec le FBI et d’autres agences policière internationales afin d’enquêter sur l’incident. Entre-temps, Ledger a signalé l’incident de Shopify à l’autorité française de protection des données et a informé les autres utilisateurs concernés plus tôt dans la journée du mercredi 13 janvier.
Des changements dans le stockage des données d’utilisateurs
Dans le cadre de la dernière divulgation en date des données de Ledger, la société a annoncé des changements dans la manière dont elle traitera à l’avenir les données de ses clients. Elle affirme qu’elle s’engage désormais à conserver leurs informations personnelles le moins longtemps possible.
De plus, le fabricant français de wallets électroniques déclare qu’il supprimera les données sensibles des courriels de confirmation de commande afin d’éviter de nouvelles fuites d’informations par le biais des fournisseurs de commerce électronique. La société a également déclaré qu’elle ajoutera un protocole de messagerie à Ledger Live, réduisant ainsi la dépendance à la communication par courrier électronique avec les clients.
En plus de s’engager à continuer à travailler avec les forces de l’ordre internationales, la société a annoncé avoir engagé des enquêteurs privés supplémentaires. Elle aurait également créé une cagnotte de récompense de 10 BTC pour les informations menant à l’arrestation et à la poursuite en justice des responsables.
Bien que Ledger ait répété que la fuite n’avait pas affecté les appareils des clients, de nombreux utilisateurs concernés étaient, à juste titre, préocupés. Certains d’entre eux ont déclaré qu’il est totalement inacceptable qu’une société de sécurité présumée ai en premier lieu laissé les données de ses clients exposés à toute forme de vulnérabilité :
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.