نقض اطلاعات در کمپانی لجر باعث فاش شدن اطلاعات تماس یک میلیون کاربر شد

شرکت بزرگ ارائه دهنده کیف پول سخت افزاری لجر (Ledger) به کاربران خود پیرامون نقض اطلاعات مشاهده شده در ماه های ژوئن و جولای هشدار داده است.

این کمپانی روز 29 جولای (8 مرداد ماه) در یک ایمیل اعلام کرد که مطلع شده است روز 14 جولای (24 تیر) محققی که در برنامه باگ بونتی آن شرکت کرده بود، به جزئیات یک آسیب پذیری بالقوه در وبسایت آنها پی برده است.

هرچند آنها توانستند این نقض را فوراً برطرف کنند، تحقیقات بیشتر این تیم مشخص نمود که یک شخص ثالث دارای مجوز توانسته است روز 25 ژوئن (5 تیر) نیز اقدام مشابهی را انجام دهد.

این فرد برای دسترسی به بانک اطلاعاتی تجارت الکترونیک و بازاریابی که این شرکت برای ارسال ایمیل تبلیغاتی از آن استفاده می کند، از یک کلید API کمک گرفته است

طبق گفته لجر، این اقدام آدرس ایمیل حدود یک میلیون نفر را به مخاطره انداخته است. این شرکت افزوده است که جزئیات اطلاعاتی همچون نام و نام خانوادگی، کد پستی و شماره تلفن یک زیرمجموعه 9500 نفری از مشتریان آن نیز فاش شده است.

لجر ادعا می کند کلید API به کار رفته برای دسترسی به پایگاه داده ها از آن زمان غیرفعال شده است.

لجر پس از بررسی موضوع با همکاری اشخاص ثالث و تأیید این تخلف، گفته است که مرجع حفاظت از اطلاعات فرانسه (CNIL) را از این قضیه مطلع کرده است. لجر در یک پست وبلاگ با هدف اطمینان بخشیدن به کاربران خود پیرامون امنیت دارایی های آنها نوشته است که:

“اطلاعات مرتبط با پرداخت و وجوه رمزنگاری شده شما امن هستند .با توجه به داده های تجارت الکترونیکی شما، هیچگونه اطلاعات مربوط به پرداخت، و هیچگونه استوارنامه ای (گذرواژه) تحت تاثیر این نقض اطلاعات قرار نداشته است. این اتفاق تنها بر اطلاعات تماس مشتریان ما تأثیر گذاشت. “

این شرکت همچنین گفته است که برای یافتن شواهدی مبنی بر فروش داده های سرقت شده، بازارهای آنلاین را با دقت زیر نظر دارد اما تاکنون هیچ موردی از این قبیل پیدا نکرده است.

لجر به کاربران توصیه کرد که مراقب اقدامات فیشینگ که توسط کلاهبرداران انجام میشود باشند و بار دیگر تاکید کرد که این کمپانی هرگز از کاربران خود ارسال عبارت های بازیابی (recovery phrase) را درخواست نخواهد کرد.

منبع: cointelegraph