Pelanggan Ledger Terdampak Kebocoran Data Pihak Ketiga Global-e

Ledger mengonfirmasi bahwa sebagian pelanggan mereka terdampak insiden kebocoran data setelah sistem milik Global-e, penyedia layanan pembayaran pihak ketiga, berhasil diretas. Meski demikian, Ledger menegaskan bahwa insiden tersebut tidak memengaruhi jaringan internal perusahaan maupun keamanan perangkat keras dan perangkat lunak dompet kripto mereka.

Dalam pernyataan resminya, Ledger menjelaskan bahwa data yang terekspos berasal dari pelanggan yang melakukan pembelian di Ledger.com dengan menggunakan Global-e sebagai Merchant of Record. Sebagai langkah kehati-hatian, perusahaan pembuat dompet kripto self-custodial tersebut telah memberi peringatan kepada pelanggan bahwa informasi pribadi mereka mungkin ikut terungkap.

Data yang terdampak meliputi nama serta informasi kontak pelanggan. Namun, Ledger menegaskan bahwa tidak ada data keuangan yang bocor dalam insiden ini. Informasi sensitif seperti detail pembayaran, kredensial akun, maupun data yang berkaitan langsung dengan aset kripto tidak termasuk dalam data yang diakses pelaku.

Global-e sendiri merupakan platform yang menangani proses checkout, pemrosesan pesanan, lokalisasi, pajak, bea masuk, dan kepatuhan untuk berbagai merek global. Layanan ini menyimpan data pesanan pelanggan untuk mendukung operasionalnya, sehingga menjadi target bernilai tinggi bagi pelaku kejahatan siber. Selain Ledger, sejumlah merek internasional lain juga menggunakan layanan Global-e.

Ledger menegaskan bahwa para penyerang tidak pernah memiliki akses ke frasa pemulihan 24 kata, saldo blockchain, maupun rahasia digital lain yang memungkinkan penguasaan aset kripto pengguna. Dengan kata lain, keamanan dompet kripto pelanggan tetap terjaga sepenuhnya.

Meski begitu, Ledger mengingatkan bahwa pelaku dapat memanfaatkan data kontak yang bocor untuk melancarkan serangan lanjutan, seperti kampanye phishing yang bertujuan menipu pengguna agar menyerahkan frasa pemulihan mereka. Perusahaan mengimbau pelanggan untuk selalu waspada, tidak pernah membagikan frasa 24 kata kepada siapa pun, dan memastikan setiap transaksi diverifikasi dengan benar.

Diketahui pula bahwa Ledger bukan satu-satunya merek yang terdampak. Pihak yang tidak berwenang dilaporkan memperoleh akses ke sistem berbasis cloud milik Global-e yang menyimpan data pesanan pelanggan dari berbagai brand. Menanggapi insiden tersebut, Global-e menyatakan telah segera mengisolasi dan mengamankan sistem yang terdampak setelah mendeteksi aktivitas ancaman di lingkungan cloud mereka.

Global-e juga menyampaikan bahwa mereka tengah melakukan pemberitahuan langsung kepada individu yang berpotensi terdampak serta kepada regulator terkait. Perusahaan menegaskan kembali bahwa tidak ada informasi pembayaran maupun kredensial akun yang dikompromikan dalam insiden ini.

Ledger menyatakan bahwa pelanggan yang terdampak akan menerima komunikasi resmi langsung dari Global-e terkait detail insiden dan dampaknya. Pengguna yang membutuhkan informasi lebih lanjut disarankan untuk menghubungi Global-e secara langsung.

Insiden ini kembali menyoroti risiko keamanan yang muncul dari ketergantungan pada pihak ketiga dalam ekosistem digital, sekaligus menegaskan pentingnya kewaspadaan pengguna terhadap upaya penipuan pasca-kebocoran data.