Производитель аппаратных кошельков Ledger раскрыл детали уязвимости, с помощью которой злоумышленники получили доступ к личной информации порядка миллиона пользователей.

О наличии уязвимости компании 14 июля сообщил сторонний исследователь, принимавший участие в баути-программе. При изучении проблемы выяснилось, что 25 июня неизвестная сторона получила доступ к базе данных, содержащей электронные и почтовые адреса, имена, номера телефонов и сведения о приобретенных продуктах Ledger. Несанкционированный доступ злоумышленники получили при помощи API-ключа, который к настоящему моменту уже деактивирован.

В компании заверили, что платежные данные, информация о банковских картах и криптовалютных счетах не скомпрометирована и находится в безопасности. Разработчики отметили, что устранили уязвимость сразу после обнаружения, а также принесли извинения своим пользователям.

В треде в Twitter компания призвала владельцев кошельков внимательно относиться к фишинговым атакам и не разглашать секретную фразу для восстановления доступа.

Источник: forklog.com