รายงานเผยบริษัทที่ให้บริการ Hardware Wallet สำหรับเก็บเหรียญ Cryptocurrency มีช่องโหว่ด้านความปลอดภัย ข้อมูลส่วนตัวของลูกค้าที่ใช้งาน Ledger ถูกแฮ็กจากผู้ไม่ประสงค์ดี

ข้อมูลลูกค้า Ledger หลุด

Ledger เป็นบริษัทที่ให้บริการกระเป๋าเก็บเหรียญคริปโตเคอร์เรนซีรายใหญ่และได้รับความเชื่อมั่นจากผู้ใช้งานจำนวนมากมานาน แต่เหตุการณ์ครั้งล่าสุดได้ทำลายความน่าเชื่อถือของบริษัทไปเมื่อมีการตรวจพบว่าข้อมูลของลูกค้า Ledger รั่วไหลซึ่งประกอบด้วยอีเมลหลายล้านบัญชี ที่อยู่ของลูกค้ากว่า 9,500 ราย

หลังจากที่บริษัทได้ตรวจพบช่องโหว่ดังกล่าวก็ได้ประกาศแก่ลูกค้าทันทีว่ามีบุคคลผู้ไม่ได้รับอนุญาตเข้าถึงข้อมูลการติดต่อของลูกค้า

“การติดต่อและข้อมูลคำสั่งที่รั่วไหลออกไป ส่วนใหญ่เป็นอีเมลของลูกค้าของเรา ประมาณ 1 ล้านอีเมล ข้อมูลส่วนตัวของลูกค้ากว่า 9,500 ราย เช่น ชื่อและนามสกุล หมายเลขไปรษณีย์ หมายเลขโทรศัพท์และคำสั่งซื้อผลิตภัณฑ์รั่วไหลเนื่องจากมีบุคคลภายนอกผู้ไม่ได้รับอนุญาตแฮ็กข้อมูล”

อย่างไรก็ตามบริษัท Ledger เผยว่าเทคโนโลยีของฮาร์ดแวร์ของ Ledger ไม่ได้รับผลกระทบไปด้วย เงินของลูกค้าทั้งหมดยังคงปลอดภัยดี มีแต่ฐานข้อมูลเท่านั้นที่ถูกแฮ็ก

ใช้ API เจาะฐานข้อมูล

บริษัท Ledger เผยว่าแฮ็กเกอร์ใช้ API Key ที่อยู่บนเว็บไซต์ของบริษัทเข้าถึงข้อมูลโดยปกปิดชื่อของตนเอง นอกจากนี้บริษัทยังเผยว่า API Key ดังกล่าวน่าจะถูกเชื่อมต่อมาตั้งแต่ 9 ส.ค. 2018 แล้ว

“ตัว API Key misconfiguration น่าจะถูกรันมาตั้งแต่ 9 สิงหาคม 2018 จากข้อมูลที่พวกเรามี เราเชื่อว่ามันน่าจะถูกตรวจพบและใช้ประโยชน์ข้อมูลระหว่างช่วงเมษายน 2020 จนถึงมิถุนายน 2020” บริษัท Ledger กล่าว

ตอนนี้เจ้าหน้าที่กำลังแก้ไขปัญหานี้อยู่โดยการยื่นเรื่องไปยังฝ่ายรัฐบาลแล้ว แต่บางคนก็สงสัยว่าทำไมพวกเขาเก็บที่อยู่บ้านหรือหมายเลขโทรศัพท์หรือรายละเอียดอื่น ๆ กับ Ledger ซึ่งก็ไม่ให้คำอธิบายใด ๆ

อาจเป็นลูกค้าที่เพิ่งสั่งซื้อและกำลังรอผลิตภัณฑ์หรือเป็นลูกค้าล่าสุดที่ Ledger อาจเก็บรายละเอียดไว้สองสามเดือนในกรณีที่มีการคืนเงินและอื่น ๆ เจ้าหน้าที่ได้รับแจ้งเรื่องแล้วและพวกเขากล่าวว่าปัญหาได้รับการแก้ไขแล้ว

อย่างไรก็ตามปัญหาเรื่องการแฮ็กข้อมูลของบริษัทไม่ได้เกิดขึ้นแค่กับ Ledger เท่านั้น บนโลกไซเบอร์นักแฮ็กเกอร์ที่ไม่ประสงค์ดีมักเจาะเอาข้อมูลที่เปราะบางแล้วนำไปขาย หรือบางทีนำข้อมูลเหล่านั้นไปเรียกค่าไถ่ให้บริษัทจ่ายเงินเป็นคริปโต เป็นเรื่องที่เกิดขึ้นเยอะมากในโลกไซเบอร์ขณะนี้

บริษัทใหญ่ตกเป็นเป้าของแฮ็กเกอร์

ก่อนหน้านี้ Garmin ก็เพิ่งถูกโจมตีทางไซเบอร์ ถูกแฮ็กเกอร์สัญชาติรัสเซีย Evil Corp ขู่เรียกค่าไถ่เป็นเงินคริปโตมูลค่ากว่า 10 ล้านเหรียญสหรัฐและต้องจ่ายเป็น Cryptocurrency เท่านั้น