Shopify fait face à une autre poursuite de la part de détenteurs de crypto pour violation de données du grand livre
La plate-forme mondiale de commerce électronique Shopify et le fabricant de portefeuilles matériels Ledger sont confrontés à un obstacle juridique majeur alors qu’un groupe d’utilisateurs de Ledger a intenté un recours collectif pour sa part de ne pas avoir empêché une violation massive des données en 2020.
La poursuite a été déposée devant le tribunal de district américain du Delaware le 1er avril et allègue que Shopify « a échoué à plusieurs reprises et profondément à protéger l’identité de ses clients ».
Shopify et son consultant en données tiers TaskUs sont tenus responsables par les plaignants de la fuite d’informations personnellement identifiables (PII) des acheteurs du grand livre malgré les promesses marketing assurant la sécurité totale de la plate-forme Shopify.
Les plaignants affirment que Shopify et TaskUs étaient au courant de la violation de données depuis plus d’une semaine avant d’en informer les clients. Ils demandent que le type exact d’informations divulguées soit divulgué par Ledger et Shopify et une récompense monétaire couvrant les dommages réels et punitifs.
Ledger, basé en France, est également inclus en tant que défendeur dans l’affaire pour ses allégations marketing promettant la sécurité des clients. La plainte indique que Ledger « a initialement nié qu’il y ait eu compromission des PII », mais a ensuite dû revenir en arrière et faire référence à la fuite et à Shopify dans une notification par e-mail. La plainte indiquait :
« Malgré les promesses répétées et la campagne publicitaire mondiale vantant une sécurité inégalée pour ses clients, Ledger – et ses fournisseurs de traitement de données, Shopify et TaskUs – ont à plusieurs reprises et profondément échoué à protéger l’identité de leurs clients, provoquant des attaques ciblées sur des milliers de crypto-actifs de clients. et faisant en sorte que les membres du groupe reçoivent beaucoup moins de sécurité que ce qu’ils pensaient avoir acheté avec leurs portefeuilles Ledger. »
Les portefeuilles matériels, également appelés portefeuilles froids, sont des dispositifs physiques qui offrent aux utilisateurs de cryptographie une sécurité supplémentaire pour leurs clés privées et leurs phrases de départ. Ils sont commercialisés pour être plus sûrs que les portefeuilles chauds.
Comme le prétend la plainte, Ledger a utilisé Shopify pour gérer la boutique en ligne de son site Web. Grâce à cette relation, Shopify avait un accès direct aux PII des clients sur la base de données de Ledger. Shopify utilise TaskUs pour fournir des services d’assistance à la clientèle et a donc également eu accès aux données client de Ledger.
Les pirates se sont emparés des informations personnelles d’environ 272 000 utilisateurs de Ledger et de plus d’un million d’abonnés par e-mail à la newsletter de Ledger en 2020. Une campagne massive de phishing et d’intimidation ciblant les propriétaires de Ledger a suivi, entraînant la perte de crypto-actifs par certaines victimes.
En rapport: Ledger s’associe à The Sandbox pour promouvoir l’éducation cryptographique dans le métaverse
Ce n’est pas le premier recours collectif intenté contre Ledger et Shopify concernant la violation de données. En avril 2021, un autre groupe de plaignants a intenté une action en Californie. Cette plainte contenait des allégations similaires au récent dépôt du Delaware que Shopify et Ledger « ont autorisé par négligence, ignoré imprudemment, puis ont intentionnellement cherché à dissimuler ».
Le 2 avril, le fabricant de portefeuilles matériels Trezor a fait l’objet d’une attaque de phishing ciblant ses utilisateurs via le fournisseur de services marketing MailChimp. Le 3 avril, Trezor a confirmé dans un tweeter qu’il y avait eu une violation de données. La société a averti les utilisateurs qu’elle cesserait de communiquer via la newsletter et avait fermé trois de ses domaines.