افشای اطلاعات مشتریان لجر؛چرا این شرکت اطلاعات مشتریان را نگه می دارد؟
اول خبر خوب این که کاربران لجر اکنون می توانند مستقیما ببینند که آیا اطلاعات شخصی آنها در هک ماه جولای افشا شده اند یا خیر.
شخصی فهرست کاملی از یک میلیون آدرس ایمیل و ۲۷۲۰۰۰ نام، آدرس پستی و شماره تلفن های متعلق به مشتریان سازنده کیف پول ارزهای رمزپایه مستقر در فرانسه را منتشر کرده است. اعداد این فهرست بسیار بیشتر از ارقام فاش شده قبلی (۹۵۰۰) لجر هستند.
سخنگوی شرکت لجر در پاسخ به سوالی درباره این تفاوت فاحش گفت:
در زمان وقوع حادثه، رکوردهای مربوط به یک برنامه نرم افزاری شخص ثالث که پایگاه داده ما را مدیریت می کند نشان دادند که ۹۵۰۰ نفر تحت تاثیر قرار گرفته اند. همزمان، ما در حال همکاری با یک سازمان امنیتی خارجی برای بررسی دقیق این موضوع بودیم و در اینجا نیز عدد ۹۵۰۰ تایید شد.
لجر در روز دوشنبه ایمیلی به مشتریان خود فرستاد و گفت که جزئیات مربوط به فهرست ۲۷۲۰۰۰ نفری در رکوردها موجود نیستند تا بتوان آنها را تجزیه و تحلیل کرد. به گفته این شرکت،مشتریانی که اطلاعات آنها در این فهرست بوده، طی ۲۴ ساعت از طریق ایمیل به آنها اطلاع داده می شود.
اقدام لجر در برابر افشای اطلاعات
لجر در روز یکشنبه در توییتر نوشت:
ما از کاربران بابت اتفاق اخیر عذرخواهی می کنیم. ما حریم خصوصی را بسیار جدی می گیریم. جلوگیری از چنین اتفاقاتی اولویت اصلی شرکت لجر است و ما از این وضعیت درس های ارزشمندی گرفته ایم.
شرکت لجر در اقدامی دیگر، یک مدیر ارشد امنیت اطلاعات استخدام کرده و ۱۷۰ سایت فیشینگ را از زمان هک تاکنون مسدود کرده است.
به گفته شخص ارسال کننده پست، حداقل سه سایت اشتراک فایل وجود دارند که می توانید از طریق آنها این دو فهرست را دانلود کنید. “من لینک ها را ارسال نمی کنم، اما چند دقیقه در توییتر جستجو کنید تا آنها را پیدا کنید”. او افزود:
اگر این فهرست ها را پیدا کردید، لطفا جزئیات مربوط به خود را بررسی و سپس آنها را حذف کنید. اگر این فایل ها را پیش خود نگه دارید، اسم ها را نگاه کنید و یا با دوستان خود در مورد آنها حرف بزنید، خیلی ناراحت خواهم شد.
چندین آدرس موجود در این هک با آدرس هایی که کلاهبرداران به آنها ایمیل های فیشینگ ارسال کرده اند، مطابقت دارند.
طبق گزارش منتشر شده در ماه جولای، این کلاهبرداران در حال کپی برداری از خبرنامه های قانونی کوین دسک و اضافه کردن تعدادی پاراگراف و لینک های جعلی در مورد هدایای ارز رمزنگاری بوده اند و آنها را برای افرادی فرستاده اند که هرگز برای دریافت ایمیل های کوین دسک ثبت نام نکرده بودند.
جیمسون لوپ در ماه نوامبر اظهار داشت که احتمالا مشتریان لجر مورد هدف قرار گرفته اند. افشای داده ها در روز یکشنبه اظهارات جیمسون لوپ را تایید می کنند.
اقدام لجر در برابر این هک
خبر بد: البته این خبر نیست، اما افشای اطلاعات در روز یکشنبه یک یادآوری هشدار دهنده است که حتی یک سازنده کیف پول سخت افزاری می تواند به یک هانی پات برای داده های حساس تبدیل شود. (من از اصطلاح “هانی پات” به معنای یک هدف ارزشمند برای هکرها استفاده می کنم، نه یک سایت فریبنده برای به دام انداختن آنها).
دلیل این امر تا حدودی به الزامات بازاریابی یک استارت آپ و بخشی دیگر به الزامات قانونی و نظارتی برمی گردد. در ماه جولای این شرکت در بخش سوالات متداول گفت که یک مهاجم از طریق کلید اِی پی آی (API) شخص ثالث که در وب سایت لجر پیکربندی نشده به بخشی از پایگاه داده بازاریابی شرکت دسترسی پیدا کرده است.
لجر گفت که به محض مطلع شدن از این هک، کلید ای پی آی غیر فعال شد. اما این اقدام به موقع نبود تا از دسترسی هکر ها به فهرست ها و ظاهرا فروش آنها به فیشرها جلوگیری کند.
پاسخ به چند پرسش درباره نگهداری اطلاعات
سوال اول: چرا کلید ای پی آی در اختیار شخص ثالث است؟
شرکت لجر در پاسخ به این سوال گفت:
تیم های تجارت الکترونیک و بازاریابی لجر از یک راه حل شخص ثالث (قابل تکرار) استفاده می کنند تا ایمیل های معاملاتی و بازاریابی را برای مشتریانی ارسال کنند که محصولاتی را از سایت ledger.com خریده اند و یا برای دریافت خبرنامه های این شرکت ثبت نام کرده اند. مطابق با سیاست حفظ حریم خصوصی شرکت، ممکن است ما برخی از داده های شما را در چارچوب های قراردادی و قانونی قابل اجرا به اشخاص ثالث مانند ارائه دهندگان خدمات پرداخت (PSP)، سازمان ها و سایر ارائه دهندگان خدمات انتقال دهیم.
سوال دوم: چرا اطلاعات مشتریان پاک نمی شوند؟
این فقط شامل ایمیل ها می شود. در مورد آدرس های پستی، نام ها و شماره تلفن ها چه می توان گفت؟ چرا پس از تحویل کالاها آنها را پاک نمی کنید؟
بنا به دلایل قانونی، ما موظف هستیم برخی اطلاعات مربوط به معاملات مشتریان نظیر اطلاعات تماس و سفارشات را ذخیره کنیم. مطابق با اصل محدودیت ذخیره سازی مندرج در قوانین قابل اجرا، ما بعد از انطباق داده ها با اهداف قانونی و حقوقی، از جمله تامین هرگونه شرایط قانونی، حسابداری، مالیاتی و یا سایر الزامات، آنها را حذف می کنیم.
اما ممکن است برخی داده های شخصی شما را با دسترسی محدود برای مدتی بایگانی کنیم. بعد از آن داده های شخصی شما برای همیشه از سیستم های ما پاک یا ناشناس می شوند. اگر شما کالا یا خدماتی را از ما خریداری کنید، احتمالا برخی از اطلاعات درج شده در قرارداد مانند جزئیات تماس را طبق قوانین قابل اجرای فرانسه به مدت ۱۰ سال نزد خود نگه خواهیم داشت. این اطلاعات همچنین به ما اجازه می دهند که در دوره های قانونی پیش بینی شده فرانسه، از حقوق خود دفاع کنیم (برای مثال طرح دعوی در دادگاه ها).
همچنین ما باید برخی از اطلاعات شخصی شما را در این پایگاه داده نگه داریم تا بتوانیم به سوالات شما پاسخ دهیم،به ادعاهای احتمالی رسیدگی کنیم و شواهد مربوط به تحقیقات جنایی را حفظ کنیم.
به عبارت دیگر،گاهی اوقات دست شرکت ها بسته است و حتی اگر آنها نخواهند باز هم مجبورند داده های مشتری را نزد خود نگه دارند.
منبع: وب سایت کوین سرا
نظرات کاربران