- Die Opfer reichen Klage ein und beschuldigen Shopify und Hardware-Wallet-Hersteller Ledger der Fahrlässigkeit.
- Mehr als 10 Monate lang ermöglichte ein Phishing-Angriff einem Hacker, Daten von Ledger und Shopify zu stehlen.
Edward Baton und John Chu haben für sich und andere Opfer eine Sammelklage gegen Ledger und Shopify eingereicht. Die Kläger behaupten, dass Ledger und Shopify (ein E-Commerce-Plattform, die mit Ledger verpartnert ist) „fahrlässig erlaubt, rücksichtslos ignoriert, und dann absichtlich versucht haben, zu vertuschen“, dass persönliche Daten von mehr 270.000 Benutzern gestohlen wurden.
Die Klage wurde am 6. April dieses Jahres eingereicht, während sich der Angriff über fast ein Jahr erstreckte. Die Angreifer nutzten Mitte letzten Jahres angeblich ein Phishing-Schema, um die Daten von Ledger und Shopify-Kunden zu stehlen.
Mit mehr als 500.000 aktiven Geschäften auf seiner Online-Plattform und 1 Million abonnierten Unternehmen weltweit ist Shopify eine der Top-3-E-Commerce-Plattformen. In ähnlicher Weise ist Ledger einer der bekanntesten Hardware Wallet-Anbieter im Krypto-Space.
Gibt es bei Ledger Sicherheitsprobleme?
Dem Dokument zufolge wurden die Daten von Mitarbeitern der genannten Plattformen extrahiert, die mit Hilfe von Phishing-Betrug falsche Identitäten annahmen. Die Daten wurden dann angeblich auf dem Schwarzmarkt verkauft. Die Kläger werfen Ledger vor, nicht „verantwortungsvoll“ gehandelt zu haben und fahrlässig vorgegangen zu sein.
Die Kläger Baton und Chu haben schätzungsweise mehr als 300.000 Dollar in Bitcoin, Ethereum und Monero verloren. Sie fordern daher Schadensersatz und Unterlassungsansprüche.
Neben anderen Vorwürfen heißt es in der Klage, dass Ledger und Shopify es versäumt haben, die Betroffenen über die Situation zu informieren. Ledger hatte den Verlust von Nutzer-Informationen wie E-Mail, Adresse, vollständiger Name und andere sensible Daten erlitten. In dem Dokument heißt es:
Ledgers und Shopifys Fehlverhalten hat die Kunden von Ledger zu Zielscheiben gemacht, deren Identitäten jedem Hacker auf der Welt bekannt oder zugänglich sind. Ledgers anhaltend mangelhafte Reaktion hat den Schaden noch vergrößert. Es wurde versäumt, jeden betroffenen Kunden einzeln zu benachrichtigen oder das volle Ausmaß des Verstoßes zuzugeben.
Am 29. Juli 2020 machte der Wallet-Hersteller eine Veröffentlichung, um die Datenpanne zu adressieren. Darin behauptete Ledger, einen Bericht über eine „mögliche“ Datenpanne erhalten zu haben, die behoben wurde.
Das Unternehmen räumte ein, dass eine dritte Partei Zugriff auf einen Teil ihrer Datenbank erhalten hat. Damals wurde der Schritt unternommen, die Ledger Live-Anwendung zur primären Schnittstelle für alle Kunden zu machen, um zukünftige Datenverletzungen zu verhindern.
Anfang dieses Jahres informierte Ledger seine Kunden dann in einem weiteren Posting über die „Bemühungen“, die sie zum Schutz ihrer Daten unternommen haben. Zum Beispiel wurden Änderungen an der Art und Weise vorgenommen, wie sie mit Benutzerinformationen umgehen. Das Unternehmen versprach, keine Informationen aufzubewahren und alle persönlichen Daten seiner Kunden zu löschen.
