Le Processeur Tiers Global-e Expose les Données Utilisateurs de Ledger
L'entreprise de portefeuilles matériels Ledger gère un nouvel incident d'exposition de données après que son processeur de paiement tiers, Global-e, ait subi une violation de sécurité. Selon les e-mails de notification envoyés aux clients, l'incident impliquait un accès non autorisé à des informations personnelles, y compris les noms d'utilisateur et les coordonnées, stockées sur le système cloud de Global-e. La révélation a été mise en lumière pour la première fois par l'enquêteur blockchain pseudonyme ZachXBT le 5 janvier 2026. La société n'a pas encore divulgué le nombre total de clients affectés par cette dernière exploitation ni la date spécifique à laquelle elle s'est produite.
Violation Suite à un Piratage de 500 000 $ en 2023 et une Fuite de 270 000 Utilisateurs en 2020
Cet événement s'ajoute à une histoire troublante de failles de sécurité liées à Ledger. En 2023, la société a été piratée pour près de 500 000 $, une vulnérabilité qui a également impacté plusieurs applications de finance décentralisée (DeFi). Cela a suivi une violation de données plus significative en 2020, où des informations de 270 000 clients ont été exposées via un autre partenaire de commerce électronique, Shopify. La nature récurrente de ces incidents met en lumière les risques opérationnels associés à la dépendance de Ledger envers des fournisseurs tiers pour des fonctions critiques.
L'Incident Amplifie les Risques de Phishing et la Surveillance de la Chaîne d'Approvisionnement
L'exposition des noms de clients et des coordonnées élève considérablement le risque de campagnes de phishing sophistiquées. Les attaquants peuvent exploiter ces données pour élaborer des escroqueries très convaincantes visant à inciter les propriétaires de Ledger à révéler leurs clés privées ou phrases de récupération. Pour sa part, Global-e a déclaré avoir détecté l'activité inhabituelle, mis en œuvre des contrôles et retenu des experts médico-légaux indépendants pour enquêter sur l'accès inapproprié. L'événement souligne les vulnérabilités persistantes de la chaîne d'approvisionnement au sein de l'industrie des actifs numériques, où la sécurité des actifs d'un utilisateur peut être compromise par les faiblesses de l'infrastructure d'un partenaire.
