Source: CryptoTaleOriginal Title: Ledger confirms customer data exposure through Global-e systemsOriginal Link: ## 概要* **Global-eでの不正アクセスによりLedgerの顧客名と連絡先情報が漏洩。*** **Ledgerは、資金回復フレーズやウォレットの秘密鍵にはアクセスされていないことを確認。*** **セキュリティ専門家は、漏洩した連絡先情報がフィッシングや詐欺のリスクを高めると警告。**## 事件の詳細ハードウェアウォレットメーカーのLedgerは、第三者決済処理業者Global-eのシステム内で不正アクセスが発生したことにより、新たなデータ漏洩に対応しています。この事件では、Global-eのクラウドインフラから取得された顧客の名前や連絡先情報などの個人情報が含まれていました。ウォレットの資金、秘密鍵、またはリカバリーフレーズが漏洩した兆候はありません。Global-eは影響を受けた顧客にメールで通知し、クラウド環境内で異常な活動を検知したため調査を開始したと伝えました。通知には、Ledgerの何人の顧客が影響を受けたかや、正確な攻撃の時期については記載されていませんでした。この通知は、ブロックチェーン調査員のZachXBTがソーシャルメディアで共有した後、初めて公に流れました。Ledgerはこの事件を確認し、侵害は完全にGlobal-eのシステム内で発生したと述べました。同社はGlobal-eがデータ管理者として行動し、そのため顧客通知を行ったとしています。## 第三者による侵害の確認Global-eは、不規則な活動を特定し、迅速にセキュリティコントロールを適用して問題を封じ込めたと述べました。その後、外部のフォレンジック専門家を招き、詳細な調査を実施しました。その調査により、限定的な個人顧客データへの不適切なアクセスが確認されました。Global-eは、調査員が「一部の個人データ、名前や連絡先情報を含むものに不適切にアクセスされた」と顧客に伝えました。なお、支払い情報や認証資格情報については言及されていません。Ledgerも後にこれらの調査結果を支持しました。同社は、不正アクセスはGlobal-eの情報システム内の注文データに影響を与えたと述べました。Ledgerは、この事件が自社の内部インフラ、デバイス、アプリケーションには影響しなかったと繰り返しました。## Ledgerの対応とセキュリティ範囲Ledgerは、自社のセルフカストディアル製品はこの事件の影響を受けていないと強調しました。同社は、Global-eがリカバリーフレーズやウォレット残高、デジタル資産の秘密情報にアクセスできないことを明らかにしました。Ledgerは、ハードウェアとソフトウェアのシステムは正常に稼働し続けていると述べました。「これはLedgerのプラットフォーム、ハードウェア、またはソフトウェアシステムの侵害ではありません」と同社は述べました。また、Global-eはLedger.comを通じて購入した顧客の購入・注文関連情報のみを処理していたことも説明しました。さらに、なぜGlobal-eが顧客に直接連絡したのかについても説明しています。Ledgerは、Global-eが影響を受けたデータを管理しており、そのため侵害通知の責任を負っていると述べました。公開時点では、両社とも影響を受けた顧客数の見積もりは発表していません。## 歴史的背景と継続するリスクこの事件は、Ledgerに関わる過去のセキュリティ事件に続くものです。2020年6月、誤設定されたサードパーティAPIによりマーケティングや電子商取引のデータが漏洩しました。この漏洩により、約100万件のメールアドレスと9,500人の顧客の詳細な連絡先情報が流出しました。2023年には、Ledgerに関連付けられたソフトウェアライブラリの侵害を悪用した攻撃が行われました。この攻撃により、5時間以内に約484,000ドルから600,000ドル相当の暗号資産が流出しました。セキュリティ専門家は、ウォレットにアクセスできなくても、漏洩した連絡先情報がソーシャルエンジニアリング攻撃を助長する可能性があると警告しています。一部の専門家は、ハードウェアウォレットを購入する際に最小限または代替の連絡先情報を使用し、データベースが漏洩した場合のターゲット型フィッシングの効果を減らすことを推奨しています。
Ledgerは決済処理業者Global-eを通じた顧客データの漏洩を確認
Source: CryptoTale Original Title: Ledger confirms customer data exposure through Global-e systems Original Link:
概要
事件の詳細
ハードウェアウォレットメーカーのLedgerは、第三者決済処理業者Global-eのシステム内で不正アクセスが発生したことにより、新たなデータ漏洩に対応しています。この事件では、Global-eのクラウドインフラから取得された顧客の名前や連絡先情報などの個人情報が含まれていました。ウォレットの資金、秘密鍵、またはリカバリーフレーズが漏洩した兆候はありません。
Global-eは影響を受けた顧客にメールで通知し、クラウド環境内で異常な活動を検知したため調査を開始したと伝えました。通知には、Ledgerの何人の顧客が影響を受けたかや、正確な攻撃の時期については記載されていませんでした。この通知は、ブロックチェーン調査員のZachXBTがソーシャルメディアで共有した後、初めて公に流れました。
Ledgerはこの事件を確認し、侵害は完全にGlobal-eのシステム内で発生したと述べました。同社はGlobal-eがデータ管理者として行動し、そのため顧客通知を行ったとしています。
第三者による侵害の確認
Global-eは、不規則な活動を特定し、迅速にセキュリティコントロールを適用して問題を封じ込めたと述べました。その後、外部のフォレンジック専門家を招き、詳細な調査を実施しました。
その調査により、限定的な個人顧客データへの不適切なアクセスが確認されました。Global-eは、調査員が「一部の個人データ、名前や連絡先情報を含むものに不適切にアクセスされた」と顧客に伝えました。なお、支払い情報や認証資格情報については言及されていません。
Ledgerも後にこれらの調査結果を支持しました。同社は、不正アクセスはGlobal-eの情報システム内の注文データに影響を与えたと述べました。Ledgerは、この事件が自社の内部インフラ、デバイス、アプリケーションには影響しなかったと繰り返しました。
Ledgerの対応とセキュリティ範囲
Ledgerは、自社のセルフカストディアル製品はこの事件の影響を受けていないと強調しました。
同社は、Global-eがリカバリーフレーズやウォレット残高、デジタル資産の秘密情報にアクセスできないことを明らかにしました。Ledgerは、ハードウェアとソフトウェアのシステムは正常に稼働し続けていると述べました。
「これはLedgerのプラットフォーム、ハードウェア、またはソフトウェアシステムの侵害ではありません」と同社は述べました。
また、Global-eはLedger.comを通じて購入した顧客の購入・注文関連情報のみを処理していたことも説明しました。さらに、なぜGlobal-eが顧客に直接連絡したのかについても説明しています。Ledgerは、Global-eが影響を受けたデータを管理しており、そのため侵害通知の責任を負っていると述べました。公開時点では、両社とも影響を受けた顧客数の見積もりは発表していません。
歴史的背景と継続するリスク
この事件は、Ledgerに関わる過去のセキュリティ事件に続くものです。2020年6月、誤設定されたサードパーティAPIによりマーケティングや電子商取引のデータが漏洩しました。この漏洩により、約100万件のメールアドレスと9,500人の顧客の詳細な連絡先情報が流出しました。
2023年には、Ledgerに関連付けられたソフトウェアライブラリの侵害を悪用した攻撃が行われました。この攻撃により、5時間以内に約484,000ドルから600,000ドル相当の暗号資産が流出しました。
セキュリティ専門家は、ウォレットにアクセスできなくても、漏洩した連絡先情報がソーシャルエンジニアリング攻撃を助長する可能性があると警告しています。一部の専門家は、ハードウェアウォレットを購入する際に最小限または代替の連絡先情報を使用し、データベースが漏洩した場合のターゲット型フィッシングの効果を減らすことを推奨しています。