En bref
- Global-e, le partenaire e-commerce de Ledger, a subi un accès non autorisé à ses systèmes de données de commandes, affectant certains clients de Ledger.com.
- Aucun actif crypto, phrase de sécurité, solde blockchain ou information de paiement n’a été compromis lors de cette violation.
- Ledger a engagé des experts judiciaires indépendants pour enquêter sur l’incident survenu sur la plateforme tierce.
Le fabricant de portefeuilles crypto Ledger a confirmé que son partenaire e-commerce Global-e a subi une violation de données, tout en rassurant les utilisateurs que ses propres portefeuilles matériels et logiciels restent sécurisés.
Ledger, basé à Paris, fabrique et vend des portefeuilles crypto depuis 12 ans. L’entreprise a vendu plus de 7,5 millions d’appareils et estime que ses solutions matérielles et logicielles sont utilisées pour conserver environ 20 % des actifs crypto mondiaux.
« Cet incident a consisté en un accès non autorisé aux données de commande dans les systèmes d’information de Global-e. Certaines des données consultées dans le cadre de cet incident concernaient des clients ayant effectué un achat sur Ledger.com en utilisant Global-e comme commerçant officiel », a déclaré un porte-parole de Ledger à
Global-e est une plateforme mondiale de commerce électronique et de paiement qui aide les marques à vendre leurs produits à l’international. Son siège est en Israël et elle est cotée au Nasdaq sous le ticker GLBE. Elle est utilisée par des centaines d’autres détaillants, dont Victoria’s Secret, Adidas, Alo Yoga et Marc Jacobs.
La déclaration a ajouté que, les produits Ledger étant en auto-conservation, Global-e n’a pas accès à des informations client telles que les phrases de sécurité de 24 mots, les soldes crypto ou toute autre information privée liée aux actifs numériques. « Il est important de noter qu’aucune information de paiement n’a été impliquée », a ajouté l’entreprise.
Ledger a également indiqué dans un communiqué envoyé à ses utilisateurs qu’elle a mandaté « des experts judiciaires indépendants pour mener une enquête sur l’incident ».
Il s’agit du dernier incident d’une série liée à la sécurité en rapport avec des systèmes tiers connectés à Ledger et à ses appareils, qui incluent les portefeuilles matériels Stax et Nano.
En décembre 2023, l’entreprise a signalé un accès non autorisé et du code malveillant dans son Ledger connect Kit. L’entreprise avait alors averti ses clients de « cesser d’utiliser les dapps », expliquant que l’exploitation avait eu lieu parce qu’un ancien employé avait été victime d’une attaque de phishing.
