A Ledger, uma das mais notáveis fabricantes de carteiras hardware para bitcoin, anunciou que por uma falha de segurança, teve os dados dos clientes expostos a um invasor desconhecido.

“Nosso banco de dados de comércio eletrônico e marketing vazou, e imediatamente corrigimos a violação. Os detalhes de contato e pedidos estavam envolvidos. Seus fundos estão seguros“, disse a Ledger em uma publicação.

Alegadamente mais de um milhão de emails e 9500 endereços residenciais foram expostos, e embora ainda não se tenha conhecimento de nenhum dado sendo vendido na internet. É provável que clientes comecem a sofrer tentativas de golpes usando engenharia social.

Emails falsos se passando pelo suporte da Ledger ou mesmo ameaças citando o endereço dos usuários podem acontecer. Vale lembrar que se você tem uma ledger comprada através de um revendedor e nunca colocou dados pessoais no site da fabricante da carteira não deve se preocupar.

Como e quando a invasão ocorreu?

Segundo a postagem do blog da Ledger, a invasão ocorria desde 9 de agosto de 2018, e foi apenas descoberta através de um programa de recompensas a “bug hunting”.

Um dos pesquisadores encontrou uma falha na API da página de web da empresa, e por aí os dados estavam sendo extraídos por hackers. A empresa afirma que “acreditamos que foi descoberto e explorado de abril de 2020 a 28 de junho de 2020”.

O bug foi corrigido neste mês, dia 14 de julho de 2020, mas o estrago já foi feito ao sistema (e à reputação) da Ledger, que agora trabalha com as autoridades francesas para identificar os cibercriminosos envolvidos.

E-mails foram enviados a todos os que sofreram impactos com o vazamento de dados, e credenciais de pagamento, senhas e fundos de criptos não foram afetadas.

O que está sendo feito e o que você deve fazer

Além de resolver a falha de segurança que permitiu o acesso indevido às informações dos clientes, a empresa também notificou a Autoridade Francesa de Proteção de Dados sobre o evento e procura “trabalhar com as autoridades durante todo o processo legal.”

“Atualmente, estamos no processo de registrar uma queixa perante o promotor público francês sobre o acesso não autorizado e apoiaremos a investigação policial.”, disse a Ledger.

Além disso, alegaram que estão buscando por possíveis vazamentos ou vendas de dados na internet, mas ainda não encontraram nada. Caso você tenha sido afetado, vale considerar que isso já possa ter acontecido, e pode começar a pensar em se proteger:

  1. Tenha atenção redobrada em tentativas de phishings, esteja ciente de que golpistas podem saber que você tem uma carteira ledger;
  2. Nunca compartilhe suas 24 palavras da frase de recuperação com ninguém, nem mesmo com a própria Ledger;
  3. É importante cuidar da sua segurança física, golpistas podem saber seu endereço.

Leia também: Conheça o ataque de $5 que pode sumir com seus bitcoins para sempre

Hardware wallets podem proteger seus bitcoins, mas alguma coisa tem que proteger sua hardware wallet.