Le fabricant français de crypto-wallets Ledger a été victime d’une violation de données. Près d’un million d’adresses e-mail ont été volées.

Sur son blog, Ledger a expliqué que la faille avait été découverte le 14 juillet 2020 par un chercheur participant à son programme Bug Bounty et que cette dernière avait immédiatement été colmatée.

Le spécialiste de la sécurité des blockchains s’est toutefois rapidement rendu compte que la faille avait été largement exploité au mois de juin par un tiers non autorisé.

Pour être aussi transparent que possible, nous voulons expliquer ce qui s’est passé. Un tiers non autorisé a eu accès à une partie de notre base de données de commerce électronique et de marketing via une clé API. La clé API a été désactivée et n’est plus accessible. Les détails de contact et de commande étaient impliqués. Il s’agit principalement de l’adresse e-mail de nos clients, environ 1M d’adresses. Suite à une enquête sur la situation, nous avons également pu établir que, un sous-ensemble de 9500 clients ont également été exposés, avec le prénom et le nom, l’adresse postale, le numéro de téléphone ou les produits commandés. En raison de l’ampleur de cette violation et de notre engagement envers nos clients, nous avons décidé d’informer tous nos clients de cette situation,” a écrit Ledger.

Les clients dont les informations personnelles détaillées ont été exposées recevront un email avec plus de détails sur la situation.

Ledger précise que les informations de paiement de ses clients n’ont pas été volées, mais surtout que leurs avoirs cryptos sont en sécurité.

Cette violation de données n’a aucun lien et aucun impact avec nos portefeuilles matériels, ni la sécurité Ledger Live et vos actifs, qui sont sûrs et n’ont jamais été en péril.Vous êtes le seul à contrôler et à pouvoir accéder à ces informations,” peut-on lire dans le communiqué.

L’entreprise a indiqué avoir alerté la CNIL (Commission nationale de l’informatique et des libertés) et avoir déposé une plainte auprès des autorités compétentes.