Utilizadores da Carteira de Hardware Ledger Expostos Através de Violação Global-e de Parceiros de Processamento de Pagamentos

O espaço de custódia de criptomoedas enfrentou novas turbulências quando a Ledger revelou um compromisso de dados que afetava alguns dos seus clientes, desta vez resultante de um processador de pagamentos terceirizado e não dos seus próprios sistemas. A Global-e, que atua como parceiro de comércio eletrónico facilitando transações para Ledger.com, confirmou o acesso não autorizado a informações de encomendas dos clientes, incluindo nomes e contactos armazenados na sua infraestrutura cloud.

Como se desenrolou a violação do processador de pagamentos de terceiros

A exposição veio a público através de uma notificação por email da Global-e, inicialmente divulgada pelo analista de blockchain sob pseudónimo ZachXBT nas redes sociais. O processador de pagamentos revelou que partes não autorizadas acederam a informações pessoais de clientes que realizaram compras através dos seus serviços de comerciante em Ledger.com. De forma crucial, a violação não comprometeu os dados dos cartões de pagamento, nem afetou a tecnologia principal de carteiras da Ledger, a segurança de hardware ou os sistemas de gestão de chaves privadas.

A Global-e agiu rapidamente ao detetar atividade suspeita, implementando controlos de segurança e contratando investigadores forenses independentes para examinar a dimensão do incidente. A investigação confirmou que alguns dados pessoais dos clientes foram acedidos indevidamente, embora o número exato de utilizadores afetados permaneça por divulgar nem pelo processador de pagamentos nem pela Ledger.

Esclarecimento de Riscos da Empresa

Em resposta a perguntas dos media, a Ledger enfatizou uma distinção importante: este incidente representa um compromisso dos sistemas de um parceiro de comércio eletrónico terceiro, e não uma falha da tecnologia de auto-custódia da Ledger. “Isto não constituiu uma violação da plataforma, hardware ou software da Ledger, que permanecem seguros”, afirmou a empresa. O fabricante de carteiras de hardware esclareceu que, como os seus produtos operam num modelo de autocustódia, a Global-e não tem acesso às frases de recuperação de 24 palavras dos utilizadores, saldos blockchain ou quaisquer chaves privadas associadas a ativos digitais.

A empresa confirmou que está a colaborar com a Global-e para notificar os clientes afetados com orientações de proteção relevantes. Importa referir que a Ledger não foi a única marca afetada — a exposição do sistema cloud do processador de pagamentos envolveu dados de encomendas de clientes de múltiplos retalhistas, evidenciando uma vulnerabilidade sistémica neste fornecedor de infraestrutura de comércio eletrónico em particular.

Contexto Histórico: Padrão de Incidentes de Terceiros

Este é o terceiro incidente significativo relacionado com a segurança da Ledger nos últimos anos, embora com gravidade diferente. Em 2020, uma violação através do parceiro de comércio eletrónico Shopify expôs informações pessoais de aproximadamente 270.000 clientes. Mais importante ainda, em 2023, a Ledger foi vítima de um ataque sofisticado que resultou no roubo de quase 500.000 dólares em criptomoedas, afetando vários protocolos financeiros descentralizados. Esse incidente foi posteriormente associado a código malicioso plantado por um ex-funcionário.

Cada incidente reforçou a distinção entre a segurança central da carteira da Ledger e as vulnerabilidades nos serviços circundantes. Esta mais recente exposição à Global-e, embora preocupante do ponto de vista da privacidade, não ameaça diretamente os ativos digitais armazenados pelos utilizadores, desde que mantenham práticas de segurança operacional adequadas.

Contexto Alargado do Mercado

A divulgação da violação de dados surge enquanto o mercado mais amplo de criptomoedas navega pela volatilidade contínua. O Bitcoin recuou recentemente abaixo do nível dos 84.000 dólares em meio a pressões mais amplas do mercado e ao sentimento cauteloso dos investidores. Os volumes de negociação de criptomoedas à vista contraíram-se significativamente, caindo para aproximadamente 900 mil milhões de dólares nos últimos períodos, face a 1,7 biliões de dólares do ano anterior, refletindo o arrefecimento do entusiasmo do mercado e a incerteza macroeconómica.

Entretanto, algumas ações relacionadas com criptomoedas — particularmente aquelas operadas por mineiros que diversificaram para infraestruturas de inteligência artificial e computação de alto desempenho — demonstraram resiliência face a ventos adversos mais amplos do mercado, sugerindo uma diferenciação baseada na adaptabilidade do modelo de negócio.

O incidente do Ledger sublinha porque a adoção institucional da infraestrutura de criptomoedas requer uma avaliação de segurança em múltiplas camadas, abordando não só o protocolo central e a tecnologia de custódia, mas também todo o ecossistema de fornecedores de serviços terceiros que acedem aos dados dos clientes.