Shopify verwikkelt in een rechtszaak over het Ledger datalek

E-commerce platform Shopify en hardware wallet maker Ledger staan voor een juridisch obstakel. Ledger gebruikers spannen een rechtszaak aan inzake het datalek van 2020.

Datalek van 2020

Een groep Ledger gebruikers vindt dat Shopify in 2020 niet genoeg doet om het massale datalek te voorkomen. Het speelt een rol in het beschikbaar stellen van de gehackte gebruikersgegevens. 

De aanklacht wordt op 1 april ingediend bij de rechtbank van Delaware. In de aanklacht staat dat Shopify herhaaldelijk en grondig faalt in het beschermen van de identiteit van haar klanten. 

Shopify en TaskUs

Shopify en haar externe data consultant TaskUs zijn volgens de aanklagers verantwoordelijk. Mede voor het lekken van persoonlijk identificeerbare informatie. Deze is afkomstig van Ledger kopers. 

Het lekken gebeurt ondanks de marketing beloftes van Shopify. Het bedrijf verzekert zijn gebruikers een volledig veilig gebruik van het Shopify platform.

Schadevergoeding

Shopify en TaskUs zijn al een week op de hoogte van het datalek. Pas dan brengen ze klanten op de hoogte. De aanklagers vragen om een openbaarmaking van de gelekte informatie. 

Ook eisen ze een geldelijke en werkelijke beloning die de schade dekt. Het Franse Ledger wordt ook als gedaagde opgenomen vanwege zijn marketing claims. Deze claims verzekeren de klanten veiligheid. 

Ledger ontkent maar krabbelt terug

In de aanklacht staat dat Ledger aanvankelijk ontkent dat er PII is gecompromitteerd. Later krabbelt het bedrijf terug en verwijst het in een e-mail naar het lek en naar Shopify. 

De aanklacht luidt als volgt:

"In beloften en reclamecampagnes prijst Shopify de ongeëvenaarde beveiliging voor haar klanten aan.  Ondanks dat falen Ledger, Shopify en TaskUs herhaaldelijk en grondig."

"Dat veroorzaakt gerichte aanvallen op de crypto activa van duizenden klanten. Leden ontvangen veel minder beveiliging dan ze denken te hebben gekocht met hun Ledger Wallets."

Veilige hardware wallets

Hardware wallets zijn fysieke apparaten die crypto gebruikers extra beveiliging bieden. Onder andere voor private keys en seed phrases. Ze worden op de markt gebracht omdat ze veiliger zijn dan hot wallets. 

In de aanklacht staat dat Ledger Shopify gebruikt om de online winkel van haar website te beheren. Shopify heeft rechtstreeks toegang tot de PII van klanten in de database van Ledger. 

Shopify gebruikt TaskUs om klant ondersteunende diensten te verlenen. Daarom heeft het ook toegang tot de klantgegevens van Ledger.

Phishing en intimidatie campagnes

Hackers gaan er in 2020 vandoor met de persoonlijke gegevens van 272.000 Ledger gebruikers en 1 miljoen nieuwsbrief abonnees van Ledger. 

Wat volgt is een massale phishing en intimidatie campagne. Gericht op de gebruikers van Ledger. Daardoor verliezen sommige slachtoffers hun crypto activa.

Niet de eerste aanklacht

Dit is niet de eerste datalek aanklacht die is ingediend tegen Ledger en Shopify. In april 2021 dient een andere groep gebruikers een aanklacht in in Californië. 

Die klacht bevat beschuldigingen die vergelijkbaar zijn met de recente Delaware aanklacht. Shopify en Ledger staan dit nalatig toe, negeren het en proberen het te verdoezelen. 

Ook Trezor is doelwit

Op 2 april wordt Trezor het doelwit van een phishing aanval op zijn gebruikers. Dat gebeurt via de marketing dienstverlener MailChimp. 

De maker van hardware wallets bevestigd op 3 april dat er sprake is van een datalek. Het bedrijf waarschuwt zijn gebruikers dat het stopt met de nieuwsbrief. Ook sluit het 3 van zijn domeinen.