Gegen den Wallet-Dienstleister Ledger und die E-Commerce-Plattform Shopify wurde eine gemeinsame Sammelklage eingereicht, nachdem im April und Juni 2020 die persönlichen Daten von 270.000 Wallet-Nutzern entwendet werden konnten.

Die entsprechende Sammelklage gegen den Wallet-Dienstleister und dessen Partnerunternehmen Shopify wurde am 6. April von John Chu und Edward Baton in Kalifornien erhoben. Die beiden Männer wurden, ausgelöst durch das Datenleck, Opfer eines sogenannten Phishing-Scams.

Die Kläger werfen Ledger vor, durch „nachlässiges Handeln“ das Datenleack überhaupt erst ermöglicht zu haben, woraufhin die Firm dies „mutwillig ignoriert“ und zudem versucht haben soll, es zu „vertuschen“. Die betreffenden Kundendaten wurden von zwei böswilligen Shopify-Mitarbeitern gestohlen, die über eine Sicherheitslücke Einsicht in den Onlineshop von Ledger hatten, der über die E-Commerce-Plattform von Shopify betrieben wird.

Anschließend verkauften die Mitarbeiter die Daten im Darkweb an Hacker weiter, wobei die Ledger-Kunden als vielversprechendes Angriffsziel galten, da auf den Hardware-Wallets des Dienstleisters oftmals beträchtliche Krypto-Vermögen eingelagert sind, deren Bewegung kaum nachvollzogen werden kann.

„Wenn Ledger in diesem Zeitraum verantwortungsvoll gehandelt hätte, hätte ein Großteil der Verluste verhindert werden können“, wie die Kläger weiter ausführen.

Damit beziehen sie sich auf den nachfolgend entstandenen Schaden, denn Hacker nutzten die gewonnen Daten unter anderem für Erpressung und Phishing Scams. In betrügerischen E-Mails täuschten die Angreifer eine etwaige Korrespondenz mit Ledger vor, die durch den Einsatz der Daten umso legitimer wirkte. Chu verlor hierdurch Bitcoin und Ether im Wert von 267.000 US-Dollar, während Baton XLM im Wert von 75.000 US-Dollar gestohlen wurden.

Wie es in der Klageschrift heißt, hat allen voran Ledger es versäumt, „betroffene Kunden persönlich zu informieren und den tatsächlichen Umfang des Datenlecks offenzulegen“.

„Durch das Fehlverhalten von Ledger und Shopify sind Ledger-Kunden zu Zielscheiben für Angreifer geworden, indem deren Daten für jeden Hacker der Welt offen einsehbar gemacht wurden. Die mangelhafte Reaktion von Ledger verschlimmerte den angerichteten Schaden nur noch mehr. So hat es das Unternehmen versäumt, betroffene Kunden persönlich zu informieren und den tatsächlichen Umfang des Datenlecks offenzulegen.“

Bisher ist unklar, ob dem Wallet-Dienstleister das volle Ausmaß des Datenlecks sofort bekannt war. In einem firmeneigenen Blogeintrag vom Juli 2020 sprach die Firma von lediglich 9.500 betroffenen Nutzern.

In einem weiteren Blogeintrag vom Januar 2020 hat Ledger den Vorfall inzwischen gänzlich eingeräumt und angekündigt, zukünftig beträchtliche Änderungen an der Verwahrung von Kundendaten und bei der Kommunikation mit Kunden vorzunehmen. Darüber hinaus wurde eine Belohnung von 10 BTC auf Informationen ausgesetzt, die bei der Identifikation und Festnahme der nutznießenden Hackern helfen können.