Geçtiğimiz günlerde sizlerle paylaştığımız bir haberimizde, kripto paraları borsa dışında toplamak için kullanılan Ledger isimli USB bellekleri geliştiren şirkete bir siber saldırı düzenlendiğinden bahsetmiştik. Bu olay, Ledger kullanıcılarını ciddi anlamda sinirlendirmiş durumda. Bunun nedeniyse aynı bilgisayar korsanı olduğuna inanılan kişinin, temmuz ayında yine benzer bir saldırı düzenlemiş olmasıydı. Kullanıcılar, kripto para cüzdanı geliştiren şirketi, yaşanan olayları önemsememekle suçluyorlar.
Yaşanan olay nedeniyle yasal süreç başlatılacağının konuşulması üzerine harekete geçen Ledger yetkilileri, konuyla ilgili bir açıklama yapmak durumunda kaldılar. Yaşanan saldırının kripto paraların güvenliğiyle ilgisinin olmadığını belirten yetkililer, olayın sadece e-posta adresleriyle ilgili olduğunu beyan ettiler. Ancak Ledger kullanıcıları, yapılan açıklamaları bir türlü kabullenmek istemiyorlar gibi görünüyorlar.
270 binden kullanıcının bilgilerine neden olan şey, basit bir hataymış
Ledger CEO’su Pascal Gauthier tarafından yapılan açıklamalara göre yaşanan güvenlik ihlalinin nedeni basit bir API hatası. CEO’ya göre veritabanındaki verileri aktarmaya yarayan bir API’nin olmaması yerde kodlanmış olması, kullanıcıların kişisel bilgilerinin ele geçirilmesine yol açtı. Bunun bir hata olduğunu kabul eden Gauthier, kasıtlı bir durum olmadığını söyledi. Bazı siber güvenlik uzmanları ise Ledger’in şifreleme uygulamalarının yeteri kadar güvenli olmadığını ifade ediyorlar.
Yapılan kurumsal bir açıklamada ise gelecekte böyle bir şey olmaması için ellerinden geleni yaptıklarını belirten Ledger yetkilileri, konuyla ilgili bazı tedbirler aldıklarını ve almaya da devam ettiklerini ifade ediyorlar. Kullanıcı bilgilerinin ortaya çıkmasına paralel olarak başlayan kimlik avı saldırıları için de harekete geçtiklerini belirten yetkililer, konuyla ilgili bir internet sitesi oluşturup, kimlik avı saldırılarını bu site üzerinden paylaşacaklarını ifade ediyorlar. Söz konusu internet sitesinin yakından takip edilmesi gerektiğini söyleyen şirket, kullanıcılara yönelik sitede yeni kimlik avı saldırılarının rapor edilebileceğini vurguluyorlar.
Şirket, yaşanan olaylarla ilgili olarak elinden geleni yaptığını söylüyor olsa da kullanıcılar böyle düşünmüyor. Hem kişisel bilgileri ortaya çıkan hem de ortaya çıkan bilgiler nedeniyle kimlik avı saldırılarına maruz kalan kullanıcılar, şirketi yasal süreç başlatma tehdit ediyorlar. Avrupa Birliği yasalarına tabi olan şirket, birlik kanunlarına göre toplu davalarla karşı karşıya kalabilir. Anlaşılan o ki Ledger’ı, oldukça zorlu bir süreç bekliyor.