12/21/2020 | Blogginnlegg, Sikkerhet
Kjære Ledger-klienter,
Som du vet ble Ledger målrettet av en nettangrep som førte til et datainnbrudd i juli 2020. I går ble vi informert om dumping av innholdet i en Ledger-kundedatabase på Raidforum. Vi tror dette er innholdet i vår e-handelsdatabase fra juni 2020.
På tidspunktet for hendelsen, i juli, engasjerte vi en ekstern sikkerhetsorganisasjon for å gjennomføre en rettsmedisinsk gjennomgang av tilgjengelige logger. Denne gjennomgangen av loggene gjorde det mulig for oss å bekrefte at omtrent 1 million e-postadresser var stjålet, samt 9,532 mer detaljert personlig informasjon (postadresser, navn, etternavn og telefonnummer) som vi kunne spesifisere.
Databasen som ble offentliggjort i går viser at en større delmengde med detaljert informasjon har blitt lekket, omtrent 272,000 detaljert informasjon som postadresse, etternavn, fornavn og telefonnummer til våre kunder. Disse detaljene er ikke tilgjengelige i loggene vi kunne analysere. Åpenhet i vår virksomhet og kommunikasjon har alltid vært en prioritet. Dette har ikke endret seg.
Utover ryktene og mangfoldige tolkninger av denne hendelsen som har blitt gjort de siste timene, vil jeg uttale noen enkle, men grunnleggende ting for å sette i perspektiv realiteten i denne situasjonen.
I Ledgers navn angrer vi veldig dypt på denne situasjonen. Vi er klar over at mange av dere har blitt målrettet av e-post og SMS-phishing-kampanjer, og at det helt klart er en plage. Jeg vet at dette bruddet i beste fall er skuffende og i verste fall opprørende.
Vårt # 1 mål er fortsatt å gi deg den beste beskyttelsen og sikkerheten for dine digitale eiendeler. For å være veldig klar: dette bruddet på dataene har ingen kobling eller innvirkning på maskinvarepungene våre, appen eller pengene dine. Dine kryptoaktiva er trygge. Selv om det er veldig oppriktig og beklagelig, gjelder dette bruddet bare e-handelsrelatert informasjon.
Ledger gjør alt for å forsterke datasikkerheten vår enda mer: de siste månedene har vi kjempet svindlerne med deg i deres forsøk på å stjele dine 24 ord. Dette har blitt omfattende dokumentert på vår nettside og blogg. Du kan nå følge statusen for pågående phishing-kampanjer på en enkelt side: Pågående phishing-kampanjer. Vi har også rekruttert talent i verdensklasse for at vår nye CISO skal bli med oss om noen dager. Vi styrker ytterligere alle våre sikkerhetsressurser og innsats - the Bounty-programmetden Dungeon og alle prosedyrer som vil tillate 24/7 testing av systemene våre. Alle disse handlingene er oppført her: Slagmarken mot phishing-forsøk.
Noen av dere har også uttrykt bekymring for potensielle fysiske angrep ettersom noen av leveringsadressene dine ble lekket. Vi forstår følelsene som skapes av denne situasjonen, men likevel viktig å erkjenne det det er ingen måte å gjøre noen sammenheng mellom dataene som har lekket og pengene på lommeboken din.
Uansett er Ledger designet med tanke på fysiske angrep, da det alltid er en potensiell trussel. Det er funksjoner og måter å beskytte deg på:
- Hvis du skriver inn feil PIN-kode tre ganger på rad, vil enheten tilbakestilles etter det tredje feilforsøket som et sikkerhetsmål.
(Se: Tilbakestill til fabrikkinnstillinger)
Uansett de siste hendelsene, inviterer vi deg til regelmessig å evaluere din egen sikkerhetsplan og alltid bruke de beste markedsstandardene. Du kan finne mye relevant informasjon om https://www.ledger.com/academy & https://www.ledger.com/.
Når det er sagt, er de fleste angrepene du vil møte, online-svindel som prøver å stjele dine 24 ord. Vi vil aldri si det for ofte: den viktigste er å gjøre det Del ALDRI dine 24 ord med NOEN. Ikke engang Ledger. Vi vil aldri be deg om dem. Ledger vil heller aldri kontakte deg via tekstmeldinger eller telefonsamtaler. Mange har spurt om midlene dine kan bli påvirket hvis du aldri har delt 24 ordene dine. Jeg skal være veldig klar: NEI. Dine midler er trygge.
For å sette ting i perspektiv og ikke for å undergrave vårt ansvar, har det blitt klart at vi har gått inn i en tid der cyberangrep vil forekomme mer og mer; de har hatt en helt topp i 2020 (Verdens største datainnbrudd og hack - informasjonen er vakker). Det er et voksende globalt problem vi alle står overfor med digital akselerasjon. Investering i fremtiden for sikkerhet har blitt mer nødvendig og presserende enn noensinne. Det er nettopp Ledgers oppdrag: Vi investerer kontinuerlig for å forbedre sikkerhetsstandardene. Det er også derfor vi ikke refunderer kunder som noen har foreslått - i stedet er det beste og mest oppriktige vi kan tilby vårt engasjement for å bli bedre og gjøre disse investeringene for kontinuerlig å oppgradere sikkerheten til produktene vi gjør tilgjengelig for deg.
I denne kampen mot #StopTheScammers, i den ånden som alltid har vært vår og kryptosamfunnene, trenger vi deg ved vår side.
Vi vil gi de nødvendige oppdateringene når analysen fortsetter å gi samfunnet vårt full åpenhet om utviklingen om dette emnet https://www.ledger.com/phishing-campaigns-status.
Hvis du har ytterligere spørsmål, kan du først sjekke FAQ og hvis spørsmålet ditt ikke blir besvart der, kan du kontakte oss via kundesupport.
Vennlig hilsen,
Pascal Gauthier
Konsernsjef, Ledger
Fransk versjon
Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.
Chers klienter Ledger,
Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d'une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-handel en date de juin 2020.
Au moment de l'incident, en juillet, nous avons engagé une organization de sécurité externe pour effectuer un examen très précis des information (logger) disponibles. Cet examen nous a permis de confirmmer qu'environ 1 million adresser e-post avaient été volées et que 9 532 clients étaient concernés par une fuite d'informations personnelles plus détaillées (adresses postales, nom, prénom and numéro de téléphone) - nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.
La base de données rendue publique hier montre qu'un pluss grand sous-ensemble d'informations détaillées a été divulgué. Ce sont environment 272 000 utilisateurs qui sont concernés. Ces detaljer ne sont pas disponibles dans les logger que nous avons pu analysator.
La transparence dans nos opérations et nos communication a toujours été une priorité. Cela n'a pas changé.
Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j'aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situation.
Au nom de Ledger, je tiens à vous adresser nos profonds anger anger pour cette situation. Nous savons que certains d'entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une plage. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d'entre vous.
Notre priorité numéro 1 réside dans the fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.
Soyons clairs: vos krypto-monnaies sont en sécurité.
Cette fuite de données n'a aucun lien ni impact sur vos portefeuilles, l'application Ledger Live ou vos fonds.
Bien que cette situation soit sincèrement beklagelig, cette fuite ne concerne que des informations liées au e-commerce.
Les équipes de Ledger s'engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : anheng les derniers mois, nous avons combattu avec vous les svindlere (arnakører) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon omfattende sur notre site et notre blogg. Vous pouvez suivre le statut de ces handlinger sur les campagnes de phishing ici.
Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d'Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressurser og innsats de sécurité: le Program Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h / 24, 7j / 7. L'ensemble de nos actions sont listées ici.
Certains d'entre vous ont aussi exprimé des préoccupations à propos d'attaques physiques potentielles dès lors que bestemte adresser postales auraient fuité. Si nous comprenons l'émotion créée par cette situation, il est important de comprendre qu'il n'existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.
Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d'attaques physiques, dans la mesure où cela constitue dans l'absolu un risque potentiel. Il existe toute une série de moyens de vous protéger:
- Si vous entrez un code PIN incorrect 3 fois de suite, the terminal se réinitialisera after after la troisième tentative incorrecte par mesure de sécurité. (Voir: Tilbakestill til fabrikkinnstillinger)
- Si au lieu d'entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN: un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Voir: Ledger 101 - Del 4: Avanserte sikkerhetsprinsipper)
- Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d'accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Voir: Ledger 101 - Del 3: Beste fremgangsmåter når du bruker en maskinvarepung)
De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des information pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)
Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez: le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni telefon.
Nous avons reçu de nombreuses spørsmål pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair: IKKE. Vos fonds sont en sécurité.
Hell remettre les choses en perspektiv et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes; elles ont été au plus haut en 2020 (Verdens største datainnbrudd og hack - informasjonen er vakker). C'est un problème global croissant auquel nous devons tous faire face avec l'accélération digitale. Investir dans le futur de la sécurité est pluss nécessaire et presserende que jamais. C'est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanentence les standards de sécurité. C'est pourquoi nous ne rembourserons pas l'achat des portefeuilles comme certains ont pu le suggérer - mais plutôt que nous continuerons à nous engager dans l'amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.
Dans ce combat #StopTheScammers, fidèle à notre état d'esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de total transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.
Hell toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.
Hilsen,
Pascal Gauthier,
Konsernsjef de Ledger