1 Milyon Ledger Kullanıcısının E-postası İfşa Oldu!
Kripto para sektörünün en büyük markalarından biri olan Ledger, haziran ayında yaşanan bir güvenlik açığının detaylarını paylaştı.
Herhangi bir paniğe, telaşa yol açmamak için yazının başında belirtelim: Bildiğimiz kadarıyla şu anda Ledger’ın herhangi bir güvenlik açığı yok. Fakat haziran ayında varmış.
Ledger’ın bu sabahki duyurusuna göre şirketin pazarlama ve e-ticaret birimleri için kullandığı veritabanında bir güvenlik açığı bulundu. Ledger’ın açıklamalarına göre bazı müşterilerin iletişim bilgileri bu güvenlik açığı yüzünden İnternet’e sızdırıldı.
Paralara Bir Şey Oldu mu?
Bir araştırmacı haziran ayının başlarında Ledger’ın açtığı bounty programına katıldı. Şirketin güvenlik düzeyini inceleyen bu araştırmacı, 14 Temmuz tarihinde Ledger ile iletişime geçerek şirketin websitesinde bir güvenlik açığı bulduğunu söyledi.
Sitedeki güvenlik açığını keşfeden Ledger ekibi bu açığı giderebilmek için hemen çalışmara başladı. Fakat araştırmacılar geç kaldıklarını kısa süre içerisinde fark ettiler. Çünkü bir saldırgan bu güvenlik açığını 25 Haziran tarihinde fark etti ve Ledger’ın veritabanına sızdı.
Bu saldırgan şirketin pazarlama ve e-ticaret amaçlı veritabanlarına sızdığı için kullanıcıların özel anahtarlarına erişmesi mümkün değildi. Dolayısıyla kullanıcıların ödeme bilgileri, şifreleri ve bakiyeleri herhangi bir şekilde zarar görmedi. Bu arada bu güvenlik açığının Ledger’ın donanım cüzdanlarıyla da bağlantılı olmadığını söyleyelim.
Zarar Ne Kadar Büyük?
Özel anahtarların, ödeme bilgilerinin güvende olması bu saldırının zararsız olduğu anlamına gelmiyor. Çünkü Ledger’ın açıklamalarına göre bu saldırı sırasında hemen hemen bir milyon kişinin e-posta adresi ifşa oldu:
“(Saldırı sırasında) yalnızca iletişim ve sipariş bilgileri ifşa olmuştur. Hemen hemen 1 milyon müşterimizin e-posta adresi açığa çıkmıştır. Yaptığımız araştırmalar sonucunda bazı müşterilerimizin ad ve soyadlarının, posta adreslerinin ve telefon numaralarının da ifşa olduğunu fark ettik.”
Özür Diliyor
Ledger bu güvenlik açığını fark ettikten sonra Orange Cyberdefense gibi şirketlerle işbirliği yapmaya başladı. Şirket ayrıca bu saldırının ölçeğini iyice anlayabilmek için Fransa’daki Veri Koruma Otoritesi ile de işbirliği yapıyor.
Ledger konu hakkında yayınladığı duyuruda bu saldırıdan etkilenmiş olan kullanıcılardan özür dilediğini söyledi ve şu açıklamayı yaptı:
“Veri gizliliğine büyük önem veriyoruz. Bu güvenlik açığını da yine kendi bounty programımız sayesinde keşfettik. Güvenlik açığını en kısa süre içerisinde ortadan kaldırdık. Fakat sorunu ortadan kaldırmış olsak da, size verdiğimiz rahatsızlıktan ötürü özür diliyoruz.”
Ledger ayrıca bu saldırıdan etkilenmiş olan, yani e-postası sızdırılmış olan kullanıcıları olası phishing saldırılarına karşı uyarıyor:
Be mindful of phishing attempts by malicious scammers – never give your 24 words recovery phrase. Ledger will never ask for it.
— Ledger (@Ledger) July 29, 2020