Eine Gruppe von Ledger-Benutzern hat beim United States District Court of Delaware eine Sammelklage gegen die globale E-Commerce-Plattform Shopify, ihren externen Datenberater TaskUs sowie den Hardware-Wallet-Hersteller selbst eingereicht.
Eine weitere Klage
Laut dem offiziellen Dokument beschuldigten die Kläger Shopify und TaskUs, Benutzerdaten im Zusammenhang mit der Datenpanne im Jahr 2020, die die Krypto-Geldbörsen von Ledger SAS betraf, „nicht mit angemessener Sorgfalt bei der Sicherung und Sicherung walten zu lassen“.
In der Beschwerde heißt es, dass der Verstoß zur unbefugten Veröffentlichung von rund 272.000 personenbezogenen Daten wie Name, E-Mail-ID, Postanschrift und Telefonnummern geführt habe.
Die Kläger behaupteten, dass sowohl Shopify als auch TaskUs Berichten zufolge mehr als eine Woche lang von dem Datenleck wussten, bevor sie die Kunden über den Hack informierten. Zwischen April und Juni 2020 nutzten Angreifer die Datenbank von Ledger über Shopify und TaskUs aus und erhielten die Liste der PII der Kunden von Ledger. Bis Ende Juni wurden die Daten der Opfer auf dem Schwarzmarkt gehandelt, was sie anfällig für Phishing-Angriffe machte.
Ledger, das auch für wiederholte Versprechungen und globale Werbekampagnen verantwortlich ist, die seine Sicherheit anpreisen, hatte den Verstoß zunächst bestritten. Bis Dezember 2020 verschlimmerte sich das Ausmaß des Exploits, als der Hacker die Kundenliste von Ledger online von Shopify veröffentlichte.
Abgesehen von Phishing-Angriffen. Den Opfern drohten auch körperliche Übergriffe und Erpressung, wenn sie ihre Gelder nicht an die Kriminellen überwiesen. Damals, so behaupteten die Kläger, schickte das französische Hardware-Wallet-Unternehmen einigen seiner Kunden, die von der Datenpanne betroffen waren, eine E-Mail, in der sie sie zum ersten Mal darüber informierten, dass ihre PII durchgesickert waren.
In der Beschwerde wurde auch behauptet, Ledger habe Shopify verwendet, um den Online-Shop seiner Website zu betreiben, wodurch dieser direkten Zugriff auf die personenbezogenen Daten der Benutzer in der Ledger-Datenbank hatte. Shopify nutzt TaskUs als Drittanbieter zur Bereitstellung von Kundensupportdiensten und hatte daher Zugriff auf die genannten Kundendaten.
Das kalifornische Gericht weist die Klage wegen Datenschutzverletzung von 2020 ab
Dies ist nicht das erste Mal, dass Ledger und Shopify wegen einer Datenpanne verklagt wurden, bei der behauptet wurde, mehrere Ledger-Benutzer hätten ihre Krypto-Assets bei Phishing-Angriffen verloren, nachdem ihre persönlichen Daten durchgesickert waren.
Das kalifornische Gericht entschied jedoch zugunsten des Antrags von Shopify und Ledger, die Klage im November letzten Jahres abzuweisen. Richter Edward Chen erklärte, dass das in den USA ansässige Gericht nicht für die beiden Unternehmen zuständig sei, da sie ihren Hauptsitz in Kanada und Frankreich haben.
Anfang dieser Woche bestätigte ein weiteres Unternehmen für Kryptowährungs-Wallets, Trezor, dass seine Benutzer von MailChimp-Exploits betroffen waren. Es untersuchte nun die E-Mail-Phishing-Kampagne, bei der die Hacker gefälschte Benachrichtigungen über Datenschutzverletzungen verschickten, nachdem sie eine Mailingliste kompromittiert hatten.