حادثه امنیتی جدید برای Ledger؛ داده‌های سفارش برخی کاربران فاش شد

شرکت کیف پول سخت‌افزاری لجر (Ledger) اعلام کرد که پس از بروز یک رخنه امنیتی در زیرساخت یک ارائه‌دهنده پرداخت خارجی بخشی از اطلاعات سفارش کاربران افشا شده اما کیف پول‌ها، کلیدهای خصوصی و عبارات بازیابی کاملاً ایمن مانده‌اند.

شرکت سخت‌افزاری لجر (Ledger) روز دوشنبه تأیید کرد که یک نفوذ امنیتی در بخشی از شبکه مرتبط با عملیات پرداخت و سفارش‌های آنلاین این شرکت شناسایی شده است. به گفته لجر این رخداد در سیستم‌های یک ارائه‌دهنده پرداخت خارجی رخ داده و تنها داده‌های محدودی از سفارش کاربران را در معرض دسترسی غیرمجاز قرار داده است.

بر اساس توضیحات منتشرشده کیف پول‌های سخت‌افزاری دستگاه‌ها کلیدهای خصوصی و عبارات بازیابی کاربران در این حادثه تحت تأثیر قرار نگرفته‌اند و هیچ دارایی دیجیتالی از کاربران به سرقت نرفته است. لجر تأکید کرده است که زیرساخت اصلی نگهداری دارایی‌ها به طور کامل از سامانه‌های سفارش و پرداخت جداست.

این نفوذ امنیتی از محیطی مبتنی بر فضای ابری که برای پردازش پرداخت‌ها و مدیریت سفارش‌ها استفاده می‌شد آغاز شده است. لجر اعلام کرد پس از شناسایی فعالیت مشکوک دسترسی به این بخش بلافاصله مسدود شده و بررسی‌های داخلی آغاز شده است. همچنین کارشناسان مستقل جرم‌شناسی دیجیتال برای مشخص شدن دامنه و علت دقیق حادثه وارد عمل شده‌اند.

×

جزئیات اولیه نشان می‌دهد داده‌های افشاشده شامل نام و اطلاعات تماس برخی مشتریان بوده است. شرکت ارائه‌دهنده خدمات پرداخت گلوبال ای (Global-e) در ایمیلی که برای کاربران ارسال شده به این موضوع اشاره کرده اما مشخص نکرده است که آیا اطلاعاتی مانند نشانی ایمیل شماره تلفن یا نشانی فیزیکی نیز در میان داده‌های افشاشده قرار داشته یا خیر. همچنین تعداد دقیق کاربران آسیب‌دیده اعلام نشده است.

لجر در بیانیه خود تصریح کرده است که پلتفرم‌های پردازش پرداخت هیچ‌گونه دسترسی به کلیدهای خصوصی عبارات بازیابی یا موجودی کیف پول کاربران ندارند و به همین دلیل دارایی‌های دیجیتال کاملاً مصون مانده‌اند. این شرکت افزوده است که رویه‌های امنیتی شرکای تجاری خود را بازبینی کرده و کنترل‌های سخت‌گیرانه‌تری برای فروشندگان طرف قرارداد اعمال خواهد کرد.

این دومین بار است که اطلاعات مشتریان لجر در یک سرویس شخص ثالث دچار افشا می‌شود. پیش‌تر در آوریل ۲۰۲۵ نیز حادثه‌ای مشابه درباره دسترسی غیرمجاز به داده‌های مشتریان گزارش شده بود. در سال ۲۰۲۰ نیز نفوذ به پایگاه داده بازاریابی و تجارت الکترونیک لجر باعث افشای حدود یک میلیون نشانی ایمیل و اطلاعات شخصی نزدیک به ۹,۵۰۰ کاربر شد.

پس از انتشار خبر این رخنه امنیتی پژوهشگر بلاکچین زک ایکس بی تی (ZachXBT) با انتشار هشداری به کاربران توصیه کرد هنگام خرید کیف پول‌های سخت‌افزاری از ارائه اطلاعات شخصی غیرضروری خودداری کنند تا ریسک حملات فیشینگ هدفمند کاهش یابد. لجر نیز از کاربران خواسته است نسبت به پیام‌های مشکوک هوشیار باشند و هرگونه درخواست غیرمنتظره را نادیده بگیرند.