Hacker erschlichen sich Kontakt- und Auftragsdaten einer Millionen Kunden des größten Hardware-Wallet-Anbieters. Die Firma bestätigte, dass von dem Daten-Leck keine Zahlungsinformationen und Krypto-Gelder betroffen waren. Betroffene Kunden seien nun per E-Mail benachrichtigt worden, so Ledger, das heute morgen in einem Blog-Beitrag die Einzelheiten bekannt machte. Datenleaks gehören leider bereits zum Alltag in der Krypto-Welt. Diesmal halte sich der Schaden wohl noch in Grenzen.

Leck existiert bereits seit Wochen

Betroffene Kunden seien Ledger zufolge heute per E-Mail über den Verstoß informiert worden. In einem separaten Blog-Beitrag fügte das Unternehmen hinzu, dass „ein Beauftragter der Firma über ein Bounty-Programm am 14. Juli das Daten-Leck entdeckte. Bei diesem Programm wird das Finden von Fehlern oder Schwachstellen mit Geld belohnt. Ledger bestätigte außerdem, dass das Daten-Leck bereits seit 25. Juni existierte. So hatten Dritte mit einem API-Schlüssel Zugriff auf die Marketing- und E-Commerce-Datenbank. Das Unternehmen deaktivierte den Schlüssel inzwischen.

Eine Millionen Daten erschlichen

Hacker gelang es, auf etwa eine Millionen E-Mails und Kundendaten zuzuggreifen . Zahlungsinformationen, Anmeldedaten (Passwörter) oder Krypto-Fonds seien von dem Hack allerdings nicht betroffen, so das Unternehmen. Die Datenverletzung habe weder eine Verbindung noch Auswirkungen auf Hardware-Wallets und die Ledger Live-Anwendung.

Das Unternehmen twitterte vor zwei Stunden, dass die „Krypto-Guthaben [der Benutzer] sicher und nicht in Gefahr“ seien.

In dem Blog-Beitrag äußert sich Ledger zu den Vorfällen wie folgt:

Es handelte sich ausschließlich um Kontakt- und Bestelldaten. Dabei handelt es sich meist um die E-Mail-Adressen von etwa 1 Millionen unserer Kunden. Im Anschluss an die Nachforschungen konnten wir auch feststellen, dass davon weitere Daten offengelegt wurden: Vor- und Nachname, Postanschrift, Telefonnummer und bestellte Produkte,

Werden Phishing-Attacken folgen?

Der Vorfall sei „äußerst bedauerlich“, heißt es in einem Brief von Ledgers CEO, Paul Gauthier an die Benutzer. Er warnt sie außerdem, mögliche Phishing-Versuche im Auge zu behalten. Er schreibt:

Wir nehmen den Datenschutz sehr ernst. Dank unseres Bug Bounty-Programms haben wir diese Lecks entdeckt und sofort behoben. Ungeachtet all dessen, was wir getan haben, um diese Situation zu vermeiden, entschuldigen wir uns aufrichtig für die Unannehmlichkeiten, die durch dieses Ereiginis entstehen könnten.

Die Behörde investigiert Daten-Leck

Zwei Tage, nachdem das Daten-Leck aufgedeckt wurde, wandte sich Ledger am 21. Juli an die französischen Datenschutzbehörde Commission nationale de l’informatique et des libertés oder (CNIL), um die potenziellen Schäden genau zu bewerten. Die Untersuchung durch die CNIL ist noch nicht abgeschlossen.