Ledger i Shopify zostały dotknięte pozwem zbiorowym w związku z poważnym naruszeniem danych, w wyniku którego dane osobowe 270 000 klientów korzystających z twardych portfeli skradziono w okresie od kwietnia do czerwca 2020 r.,
Ofiary phishingu – John Chu i Edward Baton – złożyli w Kalifornii pozew przeciwko dostawcy portfela kryptograficznego i jego partnerowi handlowemu Shopify 6 kwietnia 2021 r. Powodowie zarzucają, że firmy „niedbale pozwoliły, lekkomyślnie zignorowały, a następnie celowo starały się zatuszować naruszenie danych”. Dane zostały skradzione gdy nieuczciwi pracownicy Shopify uzyskali dostęp do bazy danych e-commerce i marketingu firmy Ledger, a hakerzy sprzedali dane w ciemnej sieci. „Gdyby Ledger działał odpowiedzialnie w tym okresie, wielu z tych strat można by było uniknąć” – twierdzą.
Mężczyźni domagają się zadośćuczynienia za szkody spowodowane naruszeniem, domagając się „wszelkich środków dozwolonych przez prawo, w tym nakazu sądowego”. W wyniku oszustw phishingowych, które podszywały się pod korespondencję firm, Chu stracił 267 000 dolarów BTC i ETH, a Baton 75 000 dolarów XLM.
Dane obejmujące imiona i nazwiska, adresy e-mail, numery telefonów i adresy wysyłkowe, zostały opublikowane na stronie internetowej RaidForums pod koniec grudnia 2020 r. Pozew zarzuca Ledgerowi „brak indywidualnego powiadomienia każdego klienta, którego dotyczy problem, lub przyznania się do pełnego zakresu naruszenia”. Ponadto „niewłaściwe postępowanie Ledgers i Shopify uczyniło cele klientów Ledger, a ich tożsamości są znane lub dostępne dla każdego hakera na świecie. Uporczywie niewystarczająca reakcja Ledgera potęgowała szkody. Brak indywidualnego powiadomienia każdego klienta, którego dotyczy problem, lub przyznanie się do pełnego zakresu naruszenia” – napisano w pozwie.
Ledger potwierdził wyciek danych 13 stycznia 2021 publikując post na swoim firmowym blogu. Firma potwierdziła wówczas, że dostęp do ich bazy danych użytkowników był wynikiem włamania do Shopify. Jednocześnie przedsiębiorstwo ogłosiło zmiany w sposobie przechowywania danych, komunikowania się z klientami, a także zaoferowało 10 BTC nagrody za informacje prowadzące do skutecznego aresztowania i ścigania hakerów.