Ledger en Shopify worden aangeklaagd vanwege een groot datalek waarbij de persoonlijke gegevens van 270.000 klanten, die tussen april en juni 2020 een wallet kochten, zijn gestolen. Heb je je hardware wallet direct via de website van Ledger gekocht? Grote kans dat jouw data hier tussen zit.
Aanklacht tegen Ledger en Shopify
Slachtoffers John Chu en Edward Baton hebben op 6 april in de VS een rechtszaak aangespannen tegen Ledger en zijn e-commercepartner Shopify. Niet alleen hun data is gestolen, ze zijn ook cryptocurrency afhandig gemaakt door scammers die zich voordeden als Ledger.
De eisers beweerden dat de bedrijven het datalek ‘nalatig toestonden, roekeloos negeerden en vervolgens opzettelijk probeerden te verdoezelen’. De gegevens werden gestolen toen malafide medewerkers van Shopify toegang kregen tot de e-commerce- en marketingdatabase van het bedrijf voor Ledger, waarna de hackers de gegevens op het dark web verkochten.
Verlies had voorkomen kunnen worden
In de aanklacht staat: ‘Als Ledger in deze periode verantwoordelijk had gehandeld, had een groot deel van dat verlies voorkomen kunnen worden.’
De twee zoeken genoegdoening voor de schade die door de inbreuk is veroorzaakt en vraagt om alle wettelijke voorzieningen, inclusief een gerechtelijk bevel. Chu verloor 267.000 dollar aan bitcoin en ethereum, en Baton verloor 75.000 dollar aan XLM door phishing-aanvallen. Scammers versturen berichten die lijken op officiele mails van Ledger.
Alle data op fora geplaatst
De data, inclusief volledige namen, e-mail, telefoonnummers en verzendadressen, werden uiteindelijk eind december op de website RaidForums geplaatst. De rechtszaak beschuldigt Ledger in het bijzonder van het nalaten om elke getroffen klant individueel op de hoogte te stellen of de volledige omvang van de inbreuk toe te geven.
‘Het wangedrag van Ledgers en Shopify heeft doelwitten gemaakt van Ledger-klanten, hun identiteit is bekend of beschikbaar voor elke hacker ter wereld. De aanhoudend gebrekkige reactie van Ledger verergerde de schade. Door niet elke getroffen klant afzonderlijk op de hoogte te stellen of de volledige omvang van de inbreuk toe te geven.’
Het is nog niet duidelijk of Ledger werkelijk wist hoe groot het datalek was. Toch publiceerde Ledger in juli 2020 een blogpost waarin stond dat op dat moment van 9500 gebruikers data is gestolen. Op 13 januari erkende Ledger in een andere blog dat er data is gelekt door de hack bij Shopify.