Ledger e Shopify sono stati colpiti da un’azione legale collettiva relativa alla fuga di dati che, tra aprile e giugno 2020, ha causato il furto delle informazioni personali di 270.000 clienti dell’hardware wallet.

Martedì, John Chu e Edward Baton, vittime di truffe phishing, hanno intentato la causa in California contro il fornitore di wallet crypto e il suo partner e-commerce Shopify.

I querelanti sostengono che le società avrebbero “consentito negligentemente, ignorato incautamente e cercato di nascondere intenzionalmente” la fuga di dati. L’incidente si è verificato quando degli impiegati di Shopify sono entrati nel database di e-commerce e marketing della compagnia per Ledger, per poi vendere i dati sul dark web.

Se Ledger avesse agito responsabilmente durante questo periodo, buona parte di questa perdita avrebbe potuto essere evitata,” affermano.

Chu e Baton mirano a ottenere il risarcimento dei danni causati dalla violazione, richiedendo “tutta la compensazione consentita dalla legge, inclusi provvedimenti ingiuntivi.Chu ha perso 267.000$ in Bitcoin (BTC) e Ether (ETH), mentre Baton ha 75.000$ in Stellar (XLM) a causa di truffe phishing camuffate da corrispondenza delle due società.

I dati, tra cui nomi completi, indirizzi email, numeri di telefono e indirizzi di spedizione, sono stati pubblicati a fine dicembre sul sito web RaidForums. L’azione legale accusa Ledger in particolare di non aver “informato individualmente ogni cliente colpito o ammesso la piena portata della fuga.”

“La negligenza di Ledger e Shopify ha reso i clienti di Ledger bersagli: le loro identità sono note o disponibili a ogni hacker del mondo. La reazione costantemente insufficiente di Ledger ha aggravato i danni, omettendo di avvisare individualmente ogni cliente colpito o riconoscere la piena portata della fuga.”

Sebbene sia ancora da dimostrare se inizialmente la società fosse consapevole dell’entità dei danni, a luglio 2020 ha pubblicato un blog post indicando che l’incidente era limitato ai dati di 9.500 utenti.

Ledger ha riconosciuto completamente la fuga di dati il 13 gennaio, confermando che l’accesso al database dei suoi utenti era stato il risultato dell’hack ai danni di Shopify. Inoltre, l’azienda ha annunciato cambiamenti alle misure di archiviazione dei dati e di comunicazione con i clienti, oltre a offrire una taglia da 10 BTC per informazioni utili all’arresto degli hacker.