Shopify et la société de portefeuille dur de crypto-monnaie Ledger ont été frappées par un recours collectif en relation avec une violation de données en 2020 qui a affecté un certain nombre de marchands Shopify.
Une poursuite a été déposée devant un tribunal du nord de la Californie le 6 avril par deux plaignants, John Chu et Edward Baton. Shopify Inc., Shopify USA Inc., Ledger SAS et Ledger Technologies Inc. sont désignés comme défendeurs.
Les plaignants affirment que plusieurs utilisateurs ont perdu leur crypto-monnaie dans des campagnes de phishing en raison de la fuite de leurs données personnelles. Le procès allègue également que Shopify et Ledger ont «autorisé par négligence, ignoré imprudemment, puis intentionnellement cherché à dissimuler» la violation de 2020. Shopify a révélé la violation pour la première fois en septembre et, selon Ledger, Ledger a été informé par Shopify de son implication le 23 décembre.
«L’inconduite de Ledger et Shopify a fait des cibles des clients de Ledger, leur identité étant connue ou accessible à tous les hackers du monde», déclare la poursuite.
Shopify a révélé en septembre que deux employés étaient à l’origine d’une violation de données qui avait affecté certains marchands sur sa plate-forme. À l’époque, la société avait déclaré que «moins de 200 commerçants» étaient concernés.
Les plaignants allèguent que les pirates informatiques impliqués dans la violation ont publié la liste des clients de Ledger, y compris les «adresses e-mail et autres informations de contact», sur le «marché noir» en ligne. La poursuite affirme également qu’entre juin et décembre 2020, au moins un des pirates informatiques a publié les données acquises en ligne, exposant les noms, les adresses physiques, les numéros de téléphone et les informations de commande.
En janvier, Ledger a révélé qu’il faisait partie de la violation, en tant que l’un des «petits» marchands Shopify supplémentaires qui se sont avérés avoir été affectés par la violation de données.
Selon Ledger, 292 000 de ses propres clients ont été touchés. Ledger a déclaré que les données exposées dans la violation comprenaient des e-mails, des noms, des adresses postales, des produits commandés et des numéros de téléphone.
En septembre, Shopify a déclaré que deux «membres voyous» de son équipe d’assistance étaient engagés dans le complot pour obtenir les enregistrements des transactions clients de certains marchands à la suite d’une enquête interne. Shopify a déclaré que les informations de contact telles que les e-mails, les noms et les adresses, ainsi que les détails de la commande, tels que les produits et services achetés, ont été affectés.
BetaKit a contacté Shopify pour obtenir des commentaires. En janvier, un porte-parole de la société a déclaré à BetaKit: «La confiance des marchands et la sécurité des données restent une priorité absolue chez Shopify, et nous nous engageons à protéger notre plate-forme, nos marchands et leurs clients.»
Auteur/autrice
