Comme vous le savez probablement, Ledger a été victime d'une violation de données dans le commerce électronique au cours de l'été. Une grande partie des données de nos utilisateurs a été divulguée.
Le 20 décembre, nous avons été alertés du vidage du contenu d'une base de données client Ledger sur Raidforum (un forum communautaire de hackers). Par conséquent, de nouvelles vagues d'attaques de phishing menacent nos utilisateurs.
Aux utilisateurs concernés par la violation, nous savons ce que vous traversez et, aussi effrayant que cela puisse être, nous vous exhortons à ne pas paniquer. Nous regrettons profondément cette situation et avons mis en place procédures pour y faire face.
Voici 6 façons de faire face à la violation de données:
1- Restez calme
Les escrocs jouent sur votre peur pour vous faire agir imprudemment, rester calme, ne pas paniquer et ne jamais agir sous la pression.
Lorsque vous réagissez de manière stressante, vous pouvez faire des erreurs. Donc, si vous changez votre mot de passe, votre adresse e-mail ou si vous sauvegardez votre appareil, prenez votre temps pour vous assurer que vous faites tout correctement.
Plus important encore, vos fonds sont en sécurité, tant qu'ils sont stockés hors ligne. Les portefeuilles matériels sont le moyen le plus sûr de stocker vos actifs. Le transfert de vos fonds vers une bourse ou un portefeuille logiciel vous rendra plus vulnérable.
Les produits Ledger offrent la meilleure sécurité pour votre crypto, la violation de données en aucun cas n'affecte la sécurité de votre appareil. Tout ce que vous avez à faire est de vous assurer que votre Nano et votre phrase de récupération sont conservés dans des endroits séparés et sûrs.
2- Ne partagez jamais vos 24 mots
Comme mentionné précédemment, cette violation de données n'est pas liée à nos portefeuilles matériels ni à la sécurité Ledger Live, vos actifs cryptographiques sont donc en sécurité. Par conséquent, les attaquants ne peuvent pas voler vos informations sensibles telles que les phrases de récupération et les clés privées à moins que vous ne les leur donniez.
Vous devez savoir que vous êtes le seul à contrôler ces informations et leur accès. Soyez prudent, soyez toujours attentif aux tentatives de phishing par des escrocs malveillants. Ne donnez vos 24 mots à personne. Nous ne vous demanderons jamais les 24 mots de votre phrase de récupération, même pas dans Ledger Live. Ledger ne vous contactera jamais par SMS ou appel téléphonique.
Nous vous invitons à vous familiariser avec l'anatomie de ces campagnes de phishing en cours et à signaler toute tentative que vous rencontrez sur cette page dédiée.
Ledger a envoyé deux e-mails différents détaillant les implications de la violation de données pour les personnes concernées. Le premier s'adressait au million d'utilisateurs qui n'ont fait que divulguer leurs e-mails, le second aux utilisateurs restants avec des données plus compromises.
Si vous pensez être concerné et que vous n'avez pas reçu d'e-mail de notre part, veuillez vous rendre sur https://haveibeenpwned.com/ pour savoir si vous avez été compromis ailleurs et prendre des mesures si nécessaire.
3- Renforcez votre sécurité d'accès
Si votre adresse e-mail a été compromise lors de la violation, nous vous recommandons de modifier le mot de passe associé. Lorsque vous choisissez un nouveau mot de passe, utilisez plusieurs types de caractères, de majuscules et de symboles pour améliorer la sécurité.
De plus, nous vous conseillons fortement d'ajouter une authentification à deux facteurs, également appelée 2FA. Cette méthode vous permet d'accéder à votre messagerie ou à toute autre plateforme uniquement après avoir présenté avec succès deux éléments de preuve (votre mot de passe initial plus un autre facteur) à un mécanisme d'authentification. Il peut s'agir d'un code envoyé par SMS, d'une notification sur votre appareil mobile ou d'un mot de passe généré aléatoirement via une application dédiée.
Nous vous déconseillons d'utiliser 2FA par SMS en raison du échange sim risque que cela comporte. Utilisez des applications telles que Authentificateur Google, GratuitOTP (une solution open source) ou une clé physique. Vous pouvez utiliser votre appareil Ledger pour sécuriser vos comptes avec un 2FA. Voici un complet tutoriel sur la façon de le faire.
Enfin, pour une sécurité maximale, vous pouvez envisager de modifier votre adresse e-mail, tout en appliquant les mesures mentionnées ci-dessus.
4- Ne jamais payer de rançon
Malheureusement, les escrocs ont atteint un nouveau plus bas, nous avons été consternés d'apprendre que certains d'entre vous sont personnellement menacés. Être victime de menaces physiques peut être épouvantable et stressant.
Mais sachez que les escrocs essaieront de faire le moins d'efforts possible pour voler de l'argent. Les attaques de phishing leur permettent de cibler facilement un grand nombre de clients sans les risques associés au contact physique. La base de données est disponible depuis juin et personne n'a jamais signalé d'attaque de ce type.
Si vous stockez de grandes quantités de crypto-monnaie sur votre appareil, nous vous conseillons de l'éloigner de votre domicile dans un endroit sécurisé et difficilement accessible. Tout comme vous ne garderiez pas des millions en espèces à la maison.
Nous vous exhortons à ne jamais payer de rançon. Si vous craignez pour votre sécurité physique et pensez être en danger, assurez-vous de contacter immédiatement vos autorités locales.
5- Déni plausible
Si vous craignez d'être victime d'extorsion, vous pouvez ajouter une autre couche de protection et de résilience à votre phrase de récupération de 24 mots en ajoutant une seconde sauvegarde (également appelée phrase secrète) sur votre appareil Ledger.
Cela se traduit par deux phrases de récupération: l'une déverrouillera l'ensemble normal de comptes, la seconde générera une nouvelle graine et déverrouillera un autre ensemble de comptes avec un autre ensemble de clés privées et d'adresses, comme expliqué ici.
Par conséquent, si jamais on vous demandait sous la pression «d'ouvrir et de vider votre portefeuille matériel», vous pourriez utiliser le premier code, montrant le compte avec un minimum d'actifs. Par conséquent, limiter les dommages financiers de votre côté.
6- Sauvegardes distribuées
Pour éviter d'être soumis à l'horreur d'un jacking domestique, ou si vous ne trouvez tout simplement pas un endroit suffisamment sûr pour votre sauvegarde, vous voudrez peut-être avoir la possibilité de diviser votre sauvegarde en différents endroits. Vous pourriez diviser vos 24 mots en trois groupes de 8 et les répartir entre trois endroits, mais alors vous augmenteriez le risque de perte ou de destruction de votre sauvegarde (si une pièce disparaît, la partie est terminée).
Une meilleure alternative serait de diviser votre sauvegarde en trois, mais ne nécessitant qu'un accès à deux parties pour récupérer l'accès.
C'est assez simple et facile à comprendre.
Disons que votre phrase de récupération est «ABC» (seulement trois mots sont nécessaires dans notre exemple). Ensuite, vous créez trois morceaux de papier: «AB _», «A _ C» et «_ BC». En prenant deux morceaux, vous êtes sûr de récupérer la phrase «ABC» complète.
Tu peux suivre ça guide en ligne pour plus d'informations sur la façon de le faire pour votre phrase de récupération de 24 mots.
Last but not least
C'est une période difficile pour nous tous. À ceux d'entre vous qui nous ont soutenus, nous vous remercions. Et à chaque client de Ledger, veuillez croire que nous travaillons XNUMX heures sur XNUMX pour que cela ne se reproduise plus, nous promettons de faire tout notre possible pour être digne de votre confiance.
Nous sommes dans le même bateau et Ledger en sortira pour vous offrir une expérience meilleure, plus forte et plus sécurisée.
Source : https://www.ledger.com/blog/6-ways-to-face-the-data-breach