Компании Ledger и Shopify стали фигурантами судебного разбирательства из-за серьёзной утечки данных, в результате которой в период с апреля по июнь 2020 года были украдена информация 270 тысяч клиентов. Жертвы мошенничества Джон Чу и Эдвард Батон подали иск в Калифорнии против поставщика криптовалютных кошельков и его партнера по электронной коммерции Shopify во вторник. Вот подробности ситуации.
Напомним, хакеры получили доступ к данным пользователей Ledger в июне 2020 года. Спустя месяц сотрудники компании заявляли, что пострадали только данные электронной коммерции и маркетинга по типу адресов электронной почты. Однако как выяснилось позже, речь шла о персональной информации в виде имён и фамилий, адресов проживания и номеров телефонов. Причём масштабы потери оказались куда больше, чем изначально рассказывали сотрудники компании.
Ledger полностью признала утечку данных 13 января в сообщении в блоге, которое подтвердило, что доступ к базе данных пользователей был результатом взлома со стороны Shopify. При этом представители компании постарались заверить в переменах относительно систем хранения данных, а также объявили о вознаграждении в размере 10 BTC за информацию о хакерах.
До этого стало известно, что никакая компенсация пользователей не ждёт, поскольку они давали своё согласие на использование личных данных. В итоге подобное отношение не понравилось некоторым клиентам фирмы, которые теперь подали на неё в суд.
Последствия утечки данных Ledger
Истцы утверждают, что фирмы «по неосторожности допустили, опрометчиво проигнорировали, а затем намеренно стремились скрыть» инцидент. Данные были украдены, когда мошенники из числа сотрудников Shopify получили доступ к базе данных компании по электронной коммерции и маркетингу для Ledger, а затем продали информацию в даркнете.
Вот цитата представителей обвинения, в которой они озвучили собственную позицию. Реплику приводит Cointelegraph.
Если бы Ledger действовала ответственно в течение этого периода, большей части потерь можно было бы избежать.
А значит клиенты компании считают, что ситуации могло бы и не прозойти, если бы компания предприняла какие-то действия. Одним из них могло стать удаление личных данных пользователей после определённого периода времени. Именно это пообещали делать сотрудники Ledger после взлома. Теперь информация о месте проживания клиента и его номер телефона должна удаляться спустя три месяца после отправки заказа — как минимум об этом заявили представители компании ранее.
Сторона истцов требует возмещения ущерба и «всех средств правовой защиты, разрешенных законом, включая судебный запрет». В частности Чу потерял BTC и ETH на сумму более 267 тысяч долларов, а Батон потерял XLM на 75 тысяч долларов в результате фишинговых атак, имитирующих корреспонденцию фирм.
Здесь нужно уточнить, что по факту криптовалюту пользователей не украли, а доступа к ней у мошенников не было. В данном случае они лишь использовали данные клиента, чтобы войти в доверие и заполучить сид-фразу от криптовалютного адреса — уникальную комбинацию, которая позволяет получить доступ к содержимому кошелька. То есть по сути он сам предоставил доступ к монетам, хоть и не умышленно.
Данные, включающие полные имена, электронную почту, номера телефонов и адреса доставки, в конце концов были размещены на веб-сайте RaidForums в конце декабря. В иске Ledger обвиняется, в частности, в том, что компания не «индивидуально уведомила каждого затронутого клиента или не признала всю полноту нарушения». Вот цитата.
В результате халатной деятельности жертвами стали клиенты Ledger, чьи личности известны и доступны каждому хакеру в мире. Постоянная неадекватная реакция техподдержки Ledger усугубила ущерб.
Мы считаем, что ситуация со взломом действительно оказалась неприятной. Впрочем, как показало время, хакеры пытались украсть криптовалюту исключительно путём обмана, а не насилия. Всё же в последнем случае они рискуют оказаться за решёткой, к тому же факт приобретения аппаратного хранилища не гарантирует наличие больших запасов криптовалюты. Как минимум устройство могло покупаться на подарок.
Однако в итоге компании придётся ответить за свою оплошность. Возмещать убыток пользователю, который потерял криптовалюты, вряд ли придётся, поскольку он сам позволил их украсть, однако репутация производителя всё равно пострадала. Пользователи до сих пор отвечают практически на любые твиты Ledger и упоминают этот инцидент. На исправление ситуации понадобится немало времени.
Ещё больше интересного ищите в нашем крипточате миллионеров. Там обсудим другие события, связанные с индустрией блокчейн-активов.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ. ТУТ ЕЩЁ БОЛЬШЕ ИНТЕРЕСНЫХ НОВОСТЕЙ.
2Bitcoins.ru
Автор: Дмитрий Кузюк