Zoals u waarschijnlijk weet, was Ledger tijdens de zomer het slachtoffer van een datalek in e-commerce. Een aanzienlijk deel van de gegevens van onze gebruikers is gelekt.
Op 20 december werden we gewaarschuwd voor het dumpen van de inhoud van een Ledger-klantendatabase op Raidforum (een communityboard van hackers). Bijgevolg zijn er voortdurend nieuwe golven van phishing-aanvallen die onze gebruikers bedreigen.
Aan de gebruikers die door de inbreuk zijn getroffen, we weten wat u doormaakt, en hoe beangstigend het ook mag zijn, we raden u aan niet in paniek te raken. We betreuren deze situatie ten zeerste en hebben deze ingevoerd procedures om het onder ogen te zien.
Hier zijn 6 manieren om het datalek het hoofd te bieden:
1- Blijf kalm
Oplichters spelen in op uw angst om u onbezonnen te laten handelen, kalm te blijven, niet in paniek te raken en nooit onder druk te handelen.
Als je stressvol reageert, kun je fouten maken. Dus als u uw wachtwoord of e-mailadres wijzigt of een back-up van uw apparaat maakt, neem dan de tijd om ervoor te zorgen dat u alles correct doet.
Het belangrijkste is dat uw geld veilig is, zolang het offline wordt opgeslagen. Hardware wallets zijn de veiligste manier om uw activa op te slaan. Als u uw geld overmaakt naar een beurs of een softwareportemonnee, wordt u kwetsbaarder.
Ledger-producten bieden de beste beveiliging voor uw crypto, het datalek tast in geen geval de veiligheid van uw apparaat aan. Het enige dat u hoeft te doen, is ervoor te zorgen dat uw Nano en herstelzin op aparte, veilige locaties worden bewaard.
2- Deel nooit uw 24 woorden
Zoals eerder vermeld, is dit datalek niet gekoppeld aan onze hardware wallets of Ledger Live-beveiliging, dus uw crypto-activa zijn veilig. Daarom kunnen aanvallers uw gevoelige informatie, zoals herstelzinnen en privésleutels, niet stelen, tenzij u deze aan hen geeft.
U moet weten dat u de enige bent die controle heeft over deze informatie en de toegang ervan. Wees voorzichtig en houd altijd rekening met phishing-pogingen door kwaadwillende oplichters. Geef je 24 woorden aan niemand. We zullen je nooit om de 24 woorden van je herstelzin vragen, ook niet in Ledger Live. Ledger zal nooit contact met u opnemen via sms of telefoontje.
We nodigen u uit om vertrouwd te raken met de structuur van deze lopende phishingcampagnes en elke poging die u ervaart te rapporteren deze speciale pagina.
Ledger heeft twee verschillende e-mails gestuurd waarin de implicaties van het datalek voor de betrokkenen worden beschreven. De eerste was gericht aan de een miljoen gebruikers van wie alleen hun e-mails waren gelekt, de tweede aan de overige gebruikers met meer gecompromitteerde gegevens.
Als je denkt dat je getroffen bent en geen e-mail van ons hebt ontvangen, ga dan naar https://haveibeenpwned.com/ om na te gaan of u elders bent gecompromitteerd en indien nodig maatregelen te nemen.
3- Versterk uw toegangsbeveiliging
Als uw e-mailadres is gecompromitteerd tijdens de inbreuk, raden we u aan het bijbehorende wachtwoord te wijzigen. Gebruik bij het kiezen van een nieuw wachtwoord meerdere soorten tekens, hoofdletters en symbolen om de beveiliging te verbeteren.
Bovendien raden we je sterk aan om een tweefactorauthenticatie toe te voegen, ook wel 2FA genoemd. Deze methode geeft u alleen toegang tot uw e-mail of een ander platform nadat u met succes twee bewijsstukken (uw initiële wachtwoord plus een andere factor) voor een authenticatiemechanisme hebt gepresenteerd. Dit kan een code zijn die via sms wordt verzonden, een melding op uw mobiele apparaat of een willekeurig gegenereerd wachtwoord via een speciale app.
We raden u af om 2FA via sms te gebruiken vanwege de sim wisselen risico dat het met zich meebrengt. Gebruik applicaties zoals Google Authenticator, GratisOTP (een open source-oplossing) of een fysieke sleutel. U kunt uw Ledger-apparaat gebruiken om uw accounts te beveiligen met een 2FA. Hier is een compleet zelfstudie over hoe het te doen.
Ten slotte kunt u voor maximale veiligheid overwegen om uw e-mailadres te wijzigen, terwijl u de bovengenoemde maatregelen toepast.
4- Betaal nooit losgeld
Helaas hebben oplichters een nieuw dieptepunt bereikt, we waren geschokt toen we ontdekten dat sommigen van jullie persoonlijk worden bedreigd. Slachtoffer zijn van fysieke bedreigingen kan vreselijk en stressvol zijn.
Maar weet alsjeblieft dat oplichters zullen proberen zo min mogelijk moeite te doen om geld te stelen. Met phishing-aanvallen kunnen ze zich gemakkelijk richten op een groot aantal klanten zonder de risico's van fysiek contact. De database is sinds juni uit en niemand heeft ooit een dergelijke aanval gemeld.
Als u grote hoeveelheden cryptovaluta op uw apparaat opslaat, raden we u aan om deze op een veilige en moeilijk bereikbare plaats bij u thuis te bewaren. Net zoals je thuis geen miljoenen in contanten zou bewaren.
We raden u aan om nooit losgeld te betalen. Als u vreest voor uw fysieke veiligheid en denkt dat u in gevaar bent, neem dan onmiddellijk contact op met uw lokale autoriteiten.
5- Plausibele ontkenning
Als u bang bent dat u het slachtoffer wordt van afpersing, kunt u een extra beschermingslaag en veerkracht toevoegen aan uw herstelzin van 24 woorden door een tweede back-up (ook wel wachtwoordzin genoemd) toe te voegen aan uw Ledger-apparaat.
Dit resulteert in twee herstelzinnen: de ene ontgrendelt de normale set accounts, de tweede genereert een nieuwe seed en ontgrendelt een alternatieve set accounts met een andere set privésleutels en adressen, zoals uitgelegd hier.
Daarom, als u ooit onder druk werd gevraagd om "uw hardwareportemonnee te openen en te legen", zou u de eerste code kunnen gebruiken, die het account met minimale activa weergeeft. Dus financiële schade aan uw kant beperken.
6- Gedistribueerde back-ups
Om te voorkomen dat u wordt blootgesteld aan de gruwel van een homejacking, of als u gewoon geen plek kunt vinden die veilig genoeg is voor uw back-up, wilt u misschien de mogelijkheid hebben om uw back-up op te splitsen op verschillende locaties. Je zou je 24 woorden in drie groepen van 8 kunnen splitsen en ze over drie plaatsen verdelen, maar dan vergroot je het risico op verlies of vernietiging van je back-up (als er een stuk ontbreekt, is het game over).
Een beter alternatief zou zijn om uw back-up in drieën te splitsen, maar slechts toegang tot twee delen nodig te hebben om de toegang te herstellen.
Dit is vrij low-tech en gemakkelijk te begrijpen.
Stel dat uw herstelzin 'ABC' is (in ons voorbeeld zijn slechts drie woorden nodig). Vervolgens maak je drie stukjes papier: “AB _”, “A _ C” en “_ BC”. Door twee willekeurige stukken te nemen, weet u zeker dat u de volledige "ABC" -frase terugkrijgt.
Je kunt dit volgen online gids voor meer informatie over hoe u dit moet doen voor uw herstelzin van 24 woorden.
Last but not least
Dit is een moeilijke tijd voor ons allemaal. Aan degenen onder u die ons bijstonden, wij danken u. En voor elke Ledger-klant, vertrouw erop dat we de klok rond werken om ervoor te zorgen dat dit nooit meer gebeurt, we beloven al het mogelijke te doen om uw vertrouwen waard te zijn.
We zitten hier samen in en Ledger zal hieruit komen om u een betere, sterkere en veiligere ervaring te bieden.
Bron: https://www.ledger.com/blog/6-ways-to-face-the-data-breach