La plateforme mondiale de commerce électronique Shopify et le fabricant de portefeuilles matériels Ledger sont confrontés à un obstacle juridique majeur. Un groupe d’utilisateurs de Ledger a déposé une plainte en recours collectif pour son incapacité à empêcher une violation massive des données en 2020.
La plainte a été déposée devant le tribunal de district américain du Delaware le 1er avril et allègue que Shopify a « échoué de manière répétée et sévère à protéger l’identité de ses clients ».
Shopify et TaskUs, son consultant tiers en matière de données, sont tenus responsables par les plaignants de la fuite d’informations personnelles identifiables (PII) des clients de Ledger, malgré les promesses marketing assurant la sécurité totale de la plateforme Shopify.
Les plaignants affirment que Shopify et TaskUs ont été au courant de la violation des données pendant plus d’une semaine avant d’en informer les clients. Ils demandent que le type exact d’informations divulguées soit révélé par Ledger et Shopify et une récompense monétaire couvrant les dommages réels et de compensation.
La société Ledger, basée en France, est également incluse en tant que défendeur dans l’affaire pour ses déclarations marketing promettant la sécurité des clients. La plainte indique que Ledger « a d’abord nié qu’une quelconque compromission de PII avait eu lieu », mais a ensuite dû faire marche arrière et évoquer la fuite et Shopify dans une notification par e-mail. La plainte indique :
« Malgré les promesses répétées et la campagne publicitaire mondiale vantant une sécurité inégalée pour ses clients, Ledger, et ses prestataires de traitement de données, Shopify et TaskUs, ont échoué de manière répétée et sévère à protéger les identités de ses clients, provoquant des attaques ciblées sur les actifs crypto de milliers de clients et amenant les membres du groupe à recevoir une sécurité moindre que celle qu’ils pensaient avoir acheté avec leurs portefeuilles Ledger. »
Les portefeuilles matériels, également connus sous le nom de cold wallets, sont des dispositifs physiques qui offrent aux utilisateurs de cryptomonnaies une sécurité accrue pour leurs clés privées et leurs phrases de démarrage. Ils sont commercialisés comme étant plus sûrs que les hot wallets.
Comme l’indique la plainte, Ledger a utilisé Shopify pour gérer la boutique en ligne de son site web. En raison de cette relation, Shopify avait un accès direct aux PII des clients de la base de données de Ledger. Shopify utilise TaskUs pour fournir des services d’assistance à la clientèle et a donc également eu accès aux données des clients de Ledger.
Les pirates se sont emparés des informations personnelles d’environ 272 000 utilisateurs de Ledger et de plus d’un million d’abonnés à la newsletter de Ledger en 2020. Une campagne massive de phishing et d’intimidation visant les propriétaires de Ledger a suivi, entraînant la perte d’actifs crypto pour certaines victimes.
À lire également : Ledger s’associe à The Sandbox pour promouvoir l’éducation aux cryptomonnaies dans le métaverse
Ce n’est pas la première action collective déposée contre Ledger et Shopify concernant la violation de données. En avril 2021, un groupe différent de plaignants a déposé une plainte en Californie. Cette plainte contenait des allégations similaires à celle déposée récemment dans le Delaware, selon lesquelles Shopify et Ledger « ont permis par négligence, ont ignoré par imprudence, puis ont cherché intentionnellement à dissimuler » la violation de données.
Le 2 avril, le fabricant de portefeuilles matériels Trezor a fait l’objet d’une attaque par phishing qui visait ses utilisateurs par le biais du fournisseur de services marketing MailChimp. Le 3 avril, Trezor a confirmé dans un tweet qu’il y avait eu une violation de données. La société a prévenu ses utilisateurs qu’elle cesserait de communiquer par le biais de la newsletter et qu’elle avait fermé trois de ses domaines.