概要
ハードウェアウォレットのリーディングカンパニーであるLedgerは、一部の顧客に対し、第三者の決済プロセッサであるGlobal-eのシステムがサイバー攻撃を受け、顧客データが流出したことを通知しました。このインシデントにより、Ledger.comでGlobal-eを介して商品を購入した顧客の情報が影響を受けたと報告されています。
LedgerはBleepingComputerへの声明で、同社のネットワーク自体は侵害されておらず、プラットフォームのハードウェアおよびソフトウェアシステムは安全であることを強調しています。今回のデータ流出は、Ledgerの内部システムではなく、外部ベンダーのシステムで発生したものです。
流出した情報とその影響
流出したデータには、影響を受けたLedger顧客の氏名と連絡先情報が含まれているとのことです。しかし、Ledgerは金融情報、24単語のシードフレーズ、ブロックチェーン残高、またはデジタル資産に関連する秘密情報は一切含まれていないと明言しており、顧客の資金への直接的な脅威はないとしています。
Ledgerは、攻撃者が流出した情報を使用して、顧客を標的としたフィッシング詐欺キャンペーンを仕掛ける可能性があると警告しています。同社は、顧客に対して常に警戒し、決して24単語のシードフレーズを開示しないこと、そして常に「Clear Sign」トランザクションを実行することを強く推奨しています。
Global-eと被害の範囲
Global-eは、Bang&Olufsen、adidas、Disney、Givenchy、Hugo Boss、Ralph Lauren、Michael Kors、Netflix、M&Sなど、多数の有名オンライン小売業者やブランドのチェックアウト、注文処理、ローカライゼーション、税金、関税、およびコンプライアンスを処理するプラットフォームです。これらのサービスは顧客の注文データを保存する必要があり、今回の侵害でそのデータがアクセスされました。
Ledgerは、今回のGlobal-eの侵害がLedgerブランドに限定されたものではなく、他の複数のブランドの顧客注文データも流出したことを示唆しています。影響を受けた顧客には、Global-eからインシデントとその影響に関する直接的な連絡が行われる予定であり、詳細についてはGlobal-eに問い合わせるよう促されています。