La società di portafogli per criptovalute Ledger colpita da una nuova fuga di dati tramite un partner di Global-e

Dettagli dell’incidente

La notifica inviata da Global-e è stata resa pubblica inizialmente da ZachXBT sulla piattaforma X. Il messaggio indica che sono stati consultati impropriamente dati personali come nomi e recapiti, senza però precisare il numero di clienti coinvolti né il periodo temporale dell’accesso.

Global-e said:

“We retained independent forensic experts to conduct an investigation into the incident and we were able to determine that some personal data including name and contact information were improperly accessed.”

Secondo la comunicazione, Global-e ha rilevato attività anomale, ha applicato controlli immediati e ha avviato un’indagine che ha confermato l’accesso non autorizzato ad alcuni dati.

Le pagine social ufficiali di Ledger non riportano al momento incidenti attivi, ma invitano alla prudenza e alla verifica delle comunicazioni ricevute dagli utenti.

Ledger said:

“Ledger was made aware of an incident at Global-e, an e-commerce partner for global brands and retailers, including Ledger. This incident consisted of unauthorized access to order data in Global-e information systems. Some of the data accessed as part of this incident pertained to customers who made a purchase on Ledger.com using Global-e as a Merchant of Record. This was not a breach of Ledger’s platform, hardware or software systems, which remain secure. For the avoidance of doubt, as the Ledger product is self-custodial, Global-e does not have access to your 24 words, blockchain balance, or any secrets related to digital assets.”

La società ha inoltre chiarito che i dati di pagamento non risultano coinvolti nell’accesso e che Global-e, in qualità di Merchant of Record, ha inviato direttamente le notifiche perché assume la responsabilità dei dati trattati nei propri sistemi.

Contesto e precedenti

Si tratta di un episodio che arriva dopo precedenti violazioni legate all’ecosistema attorno a Ledger. Nel 2020 una fuga di dati attraverso il partner di e‑commerce Shopify aveva esposto le informazioni di circa 270.000 clienti; nel 2023 la società aveva subito un attacco che ha coinvolto fondi per quasi 500.000 dollari e interessato diverse applicazioni della finanza decentralizzata (DeFi).

È importante distinguere tra compromissione dei metadati degli ordini e accesso alle chiavi crittografiche. I portafogli hardware sono progettati per essere self-custodial, il che significa che la frase di recupero (le cosiddette 24 words o “seed phrase”) resta sotto il controllo dell’utente: una violazione dei sistemi di vendita non implica necessariamente un rischio diretto sui fondi, se le credenziali private non sono state esposte.

Dal punto di vista normativo, quando un fornitore terzo agisce come controllore dei dati, crescono le responsabilità legali e gli obblighi di notifica previsti, ad esempio, dal GDPR per i clienti nell’Unione Europea. Le indagini forensi e le comunicazioni agli interessati sono quindi fasi attese in questi casi.

Cosa devono sapere gli utenti

Secondo le dichiarazioni ufficiali, le informazioni di pagamento non sarebbero state coinvolte: Ledger sta collaborando con Global-e per informare gli utenti potenzialmente coinvolti e fornire dettagli utili. Rimane comunque raccomandata la massima attenzione a tentativi di phishing o comunicazioni fraudolente che sfruttano informazioni personali ottenute in violazioni di questo tipo.

Consigli pratici per gli utenti includono: monitorare le proprie caselle email e i movimenti sospetti, attivare misure di protezione come l’autenticazione a due fattori sugli account associati, non condividere mai la seed phrase o le proprie chiavi private, e verificare sempre la provenienza delle comunicazioni rivolgendosi ai canali ufficiali dell’azienda.

La vicenda sottolinea la necessità per l’intero settore del commercio elettronico e delle criptovalute di rafforzare le difese contro attori malevoli e di migliorare la gestione dei dati da parte dei fornitori terzi coinvolti nelle transazioni.