12/21/2020 | Posts del Blog, Seguridad
Estimados clientes de Ledger:
Como saben, Ledger fue blanco de un ciberataque que provocó una violación de datos en julio de 2020. Ayer, nos informaron sobre el volcado del contenido de una base de datos de clientes de Ledger en Raidforum. Creemos que este es el contenido de nuestra base de datos de comercio electrónico a partir de junio de 2020.
En el momento del incidente, en julio, contratamos a una organización de seguridad externa para realizar una revisión forense de los registros disponibles. Esta revisión de los registros nos permitió confirmar que se habían robado aproximadamente 1 millón de direcciones de correo electrónico, así como 9,532 información personal más detallada (direcciones postales, nombre, apellido y número de teléfono) que pudimos identificar específicamente.
La base de datos publicada ayer muestra que se ha filtrado un subconjunto más grande de información detallada, aproximadamente 272,000 información detallada, como dirección postal, apellido, nombre y número de teléfono de nuestros clientes. Estos detalles no están disponibles en los registros que pudimos analizar. La transparencia en nuestras operaciones y comunicaciones siempre ha sido una prioridad. Esto no ha cambiado.
Más allá de los rumores y diversas interpretaciones de este hecho que se han realizado en las últimas horas, quiero enunciar algunas cosas sencillas pero fundamentales para poner en perspectiva la realidad de esta situación.
En nombre de Ledger, lamentamos profundamente esta situación. Somos conscientes de que muchos de ustedes han sido blanco de campañas de phishing por correo electrónico y SMS y que claramente es una molestia. Sé que esta brecha es decepcionante en el mejor de los casos y exasperante en el peor.
Nuestro objetivo n. ° 1 sigue siendo brindarle la mejor protección y seguridad para sus activos digitales. Para ser muy claros: esta violación de datos no tiene ningún vínculo ni impacto en nuestras carteras de hardware, la aplicación o sus fondos. Sus activos criptográficos están a salvo. Si bien es muy verdadera y sincera, esta infracción afecta únicamente a la información relacionada con el comercio electrónico.
Ledger está haciendo todo lo posible para reforzar aún más la seguridad de nuestros datos: Durante los últimos meses, hemos estado luchando contra los estafadores contigo en su intento de robar tus 24 palabras. Esto ha sido ampliamente documentado en nuestro sitio web y blog. Ahora puede seguir el estado de las campañas de phishing en curso en una sola página: Campañas de phishing en curso. También hemos reclutado talento de clase mundial para que nuestro nuevo CISO se una a nosotros en unos días. Estamos fortaleciendo aún más todos nuestros recursos y esfuerzos de seguridad: el Programa Bounty, la Mazmorra y todos los procedimientos que permitirán probar nuestros sistemas las 24 horas del día, los 7 días de la semana. Todas estas acciones se han enumerado aquí: El campo de batalla contra los intentos de phishing.
Algunos de ustedes también han expresado su preocupación por posibles ataques físicos ya que se filtraron algunas de sus direcciones de envío. Entendemos las emociones creadas por esta situación, pero es importante reconocer que no hay forma de hacer ninguna correlación entre los datos que se han filtrado y los fondos en su billetera.
Independientemente, Ledger ha sido diseñado teniendo en cuenta la amenaza de un ataque físico, ya que siempre es una amenaza potencial. Hay funciones y formas de protegerse:
- Si ingresa un código PIN incorrecto tres veces seguidas, el dispositivo se reiniciará después del tercer intento incorrecto como medida de seguridad.
(Ver: Restablecer a la configuración de fábrica)
Independientemente de los eventos recientes, si mantiene mucho valor en su hogar, lo invitamos a evaluar periódicamente su propio esquema de seguridad y a aplicar siempre los mejores estándares del mercado. Puede encontrar mucha información relevante en https://www.ledger.com/academy & https://www.ledger.com/.
Dicho esto, la mayoría de los ataques que enfrentará son estafas en línea que intentan robar sus 24 palabras. Nunca lo diremos con demasiada frecuencia: lo único importante es NUNCA comparta sus 24 palabras con NADIE. Ni siquiera Ledger. Nunca te los pediremos. Además, Ledger nunca se comunicará con usted a través de mensajes de texto o llamadas telefónicas. Muchos han preguntado si sus fondos podrían verse afectados si nunca compartiera sus 24 palabras. Seré muy claro: NO. Tus fondos están seguros.
Para poner las cosas en perspectiva y no socavar nuestra responsabilidad, ha quedado claro que hemos entrado en una era en la que los ciberataques ocurrirán cada vez más; han estado en su punto más alto en 2020 (Las infracciones y hackeos de datos más grandes del mundo: la información es hermosa). Es un problema global creciente al que todos nos enfrentamos con la aceleración digital. Invertir en el futuro de la seguridad se ha vuelto más necesario y urgente que nunca. Esa es precisamente la misión de Ledger: invertimos continuamente para mejorar los estándares de seguridad. Es también por eso que no reembolsaremos a los clientes como algunos han sugerido; en cambio, lo mejor y más sincero que podemos ofrecer es nuestra dedicación a ser mejores y hacer estas inversiones para mejorar continuamente la seguridad de los productos que ponemos a su disposición.
En esta lucha por #Detener a los estafadores, en el espíritu que siempre ha sido nuestro y las comunidades criptográficas, te necesitamos a nuestro lado.
Daremos las actualizaciones necesarias a medida que nuestro análisis continúe brindando a nuestra comunidad total transparencia sobre los desarrollos sobre este tema en https://www.ledger.com/phishing-campaigns-status.
Si tiene más preguntas, primero consulte la Preguntas Frecuentes y si su pregunta no se responde allí, comuníquese con nosotros a través del servicio de atención al cliente.
Atentamente,
Pascal Gauthier
CEO, Libro mayor
Versión en francés
Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.
Chers libro mayor de clientes,
Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informa que el contenido de una base de clientes données Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce en date de juin 2020.
Au moment de l'incident, en juillet, nous avons engagé une organization de sécurité externe pour effectuer un examen très précis des informations (los registros) disponibles. Cet examen nous a permis de confirmer qu'environ 1 millón de direcciones e-mail avaient été volées et que 9 clients étaient concernés par une fuite d'informations staffles plus détaillées (direcciones postales, nom, prénom et numéro de téléphone) - nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.
La base de données rendue publique hier montre qu'un plus grand sous-ensemble d'informations détaillées a été divulgué. Ce sont environment 272 000 utilisateurs qui sont concernés. Ces detalles ne sont pas disponibles en les los registros analizador de pu que nous avons.
La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n'a pas changé.
Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j'aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspectiva la realité de cette situación.
Au nom de Ledger, je tiens à vous adresser nos profonds lamenta la situación de pour cette. Nous savons que ciertas d'entre vous ont été visés par des campagnes de suplantación de identidad par email et sms, qui constituyente clairement une molestias. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d'entre vous.
Nuestra prioridad número 1 reside en el hecho de proporcionar la mejor protección y seguridad para proteger sus données digitales.
Que quede claro: Sus criptomonedas son seguras.
Cette fuite de données n'a aucun lien ni impact sur vos portefeuilles, l'application Ledger Live ou vos fonds.
Bien que cette situación soit sincèrement lamentable, cette fuite ne concernne que des informations liées au e-commerce.
Les équipes de Ledger s'engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : colgante les derniers mois, nous avons combattu avec vous les los estafadoresestafadores) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extenso sur notre sitio y notre blog. Podrás cumplir con el estatuto de estas acciones en las campañas de suplantación de identidad aquí.
Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d'Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et texts de sécurité: le Program Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h / 24, 7j / 7. L'ensemble de nos actions sont listées ici.
Algunas de las direcciones anteriores a las ocupaciones previas a propuestas físicas potentielles de las direcciones postales auraient fuité determinadas. Si nous comprenons l'émotion créée par cette situación, il est important de comprendre qu'il n'existe aucun moyen de faire une correlation entre les données qui ont fuité et les fonds sur votre portefeuille.
Indépendamment de cette status, Ledger a été conçu en ayant en tête les menaces d'attaques physiques, dans la mesure où cela constitue dans l'absolu un risque potentiel. Il existe toute une série de moyens de vous protéger:
- Si vous entrez un code PIN incorrecto 3 fois de suite, le terminal se réinitialisera après la troisième tentative incorrecte par mesure de sécurité. (Voir: Restablecer a la configuración de fábrica)
- Si en lugar de entrar votre la frase de seguridad a chaque fois, vous pouvez la rattacher à un segundo código PIN en votre terminal Ledger. Cela revient à détenir deux códigos PIN: un qui ouvre vos comptes normaux et un qui ouvre une version alternativa de vos comptes. (Voir: Libro mayor 101 - Parte 4: Principios de seguridad avanzados)
- Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d'accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Voir: Libro mayor 101 - Parte 3: Mejores prácticas al usar una billetera de hardware)
De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours aplicador les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)
Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez: le plus importante est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De mí, Ledger ne vous contactera jamais par SMS ni teléfono.
Nous avons reçu de nombreuses preguntas pour nous exigder si les fonds pouvaient être impactés sans jamais partager les 24 mots. Je vais être très clair: NO. Vos fonds sont en sécurité.
Pour remettre les choses en perspectiva et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes; elles ont été au plus haut en 2020 (Las infracciones y hackeos de datos más grandes del mundo: la información es hermosa). C'est un problème croissant global auquel nous devons tous faire face avec l'accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgente que jamais. C'est précisément le cœur de la mission de Ledger : Nous investissons pour mejorar la permanencia de los estándares de seguridad. C'est pourquoi nous ne rembourserons pas l'achat des portefeuilles comme certains ont pu le suggérer - mais plutôt que nous continuerons à nous engager dans l'amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.
Dans ce combat #StopThe Scamers, fidèle à notre état d'esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Nous ne manquerons pas de vous comunicador toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.
Para completar todas las preguntas, nos invitamos a leer la página. Preguntas Frecuentes dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clientes.
Sinceramente
Pascual Gauthier,
CEO de Ledger
Fuente: https://www.ledger.com/message-ledgers-ceo-data-leak