Jak zapewne wiesz, Ledger padł latem ofiarą wycieku danych w handlu elektronicznym. Wyciekła znaczna ilość danych naszych użytkowników.
20 grudnia zostaliśmy powiadomieni o zrzucie zawartości bazy danych klientów Ledger na Raidforum (forum społeczności hakerów). W związku z tym trwają nowe fale ataków phishingowych zagrażających naszym użytkownikom.
Dla użytkowników, których dotyczy naruszenie, wiemy, przez co przechodzisz, i choć może to być przerażające, apelujemy, aby nie panikować. Głęboko żałujemy tej sytuacji i wprowadziliśmy procedury stawić temu czoła.
Oto 6 sposobów radzenia sobie z naruszeniem danych:
1- Zachowaj spokój
Oszuści grają na twoim strachu, abyś działał pochopnie, zachowaj spokój, nie panikuj i nigdy nie działaj pod presją.
Kiedy reagujesz stresująco, możesz popełniać błędy. Jeśli więc zmieniasz hasło, adres e-mail lub tworzysz kopię zapasową urządzenia, nie spiesz się, aby upewnić się, że wszystko robisz poprawnie.
Co najważniejsze, Twoje środki są bezpieczne, o ile są przechowywane w trybie offline. Portfele sprzętowe to najbezpieczniejszy sposób przechowywania aktywów. Przelew środków na giełdę lub portfel oprogramowania sprawi, że będziesz bardziej podatny na ataki.
Produkty Ledger zapewniają najlepsze zabezpieczenie dla Twojego krypto, naruszenia danych w żadnym wypadku nie wpływa na bezpieczeństwo Twojego urządzenia. Wszystko, co musisz zrobić, to upewnić się, że Twoje Nano i fraza odzyskiwania są przechowywane w oddzielnych, bezpiecznych lokalizacjach.
2- Nigdy nie udostępniaj swoich 24 słów
Jak wcześniej wspomniano, to naruszenie danych nie jest powiązane z naszymi portfelami sprzętowymi ani zabezpieczeniami Ledger Live, więc Twoje zasoby kryptograficzne są bezpieczne. Dlatego osoby atakujące nie mogą ukraść poufnych informacji, takich jak frazy odzyskiwania i klucze prywatne, chyba że im je udostępnisz.
Powinieneś wiedzieć, że tylko Ty kontrolujesz te informacje i dostęp do nich. Zachowaj ostrożność i zawsze uważaj na próby phishingu dokonywane przez złośliwych oszustów. Nie podawaj nikomu swoich 24 słów. Nigdy nie poprosimy Cię o 24 słowa zwrotu, nawet w Ledger Live. Ledger nigdy nie skontaktuje się z Tobą za pośrednictwem wiadomości tekstowych lub rozmowy telefonicznej.
Zachęcamy do zapoznania się z anatomią trwających kampanii phishingowych i zgłaszania wszelkich prób, jakich doświadczyłeś ta dedykowana strona.
Ledger wysłał dwa różne e-maile szczegółowo opisujące konsekwencje naruszenia danych osobom zainteresowanym. Pierwszy adresowany był do miliona użytkowników, którym wyciekły tylko ich e-maile, a drugi do pozostałych użytkowników z większą ilością zhakowanych danych.
Jeśli uważasz, że dotyczy to Ciebie i nie otrzymałeś od nas wiadomości e-mail, przejdź do https://haveibeenpwned.com/ aby dowiedzieć się, czy zostałeś skompromitowany gdzie indziej i podjąć środki, jeśli to konieczne.
3- Wzmocnij swoje bezpieczeństwo dostępu
Jeśli Twój adres e-mail został naruszony w wyniku naruszenia, zalecamy zmianę powiązanego hasła. Wybierając nowe hasło, używaj wielu rodzajów znaków, wielkich liter i symboli, aby zwiększyć bezpieczeństwo.
Ponadto zdecydowanie zalecamy dodanie uwierzytelniania dwuskładnikowego, znanego również jako 2FA. Ta metoda zapewnia dostęp do poczty e-mail lub dowolnej innej platformy tylko po pomyślnym przedstawieniu dwóch dowodów (twojego początkowego hasła i innego czynnika) mechanizmowi uwierzytelniania. Może to być kod wysłany SMS-em, powiadomienie na urządzeniu mobilnym lub losowo wygenerowane hasło za pośrednictwem dedykowanej aplikacji.
Nie zalecamy korzystania z 2FA przez SMS z powodu zamiana kart SIM związane z tym ryzyko. Korzystaj z aplikacji takich jak Google Authenticator, DarmoweOTP (rozwiązanie open source) lub klucz fizyczny. Możesz wykorzystać swoje urządzenie Ledger, aby zabezpieczyć swoje konta za pomocą 2FA. Oto kompletny Tutorial o tym, jak to zrobić.
Na koniec, dla maksymalnego bezpieczeństwa, możesz rozważyć zmianę adresu e-mail, stosując powyższe środki.
4- Nigdy nie płać okupu
Niestety, oszuści osiągnęli nowy poziom, byliśmy zbulwersowani, gdy dowiedzieliśmy się, że niektórzy z was są osobiście zastraszani. Bycie ofiarą zagrożeń fizycznych może być straszne i stresujące.
Ale wiedz, że oszuści będą starali się jak najmniej starać się ukraść pieniądze. Ataki phishingowe umożliwiają im łatwe atakowanie dużej liczby klientów bez ryzyka związanego z kontaktem fizycznym. Baza danych jest niedostępna od czerwca i nikt nigdy nie zgłosił takiego ataku.
Jeśli przechowujesz duże ilości kryptowaluty na swoim urządzeniu, radzimy trzymać je z dala od domu w bezpiecznym i trudno dostępnym miejscu. Tak jak nie trzymałbyś milionów w gotówce w domu.
Apelujemy, aby nigdy nie płacić okupu. Jeśli obawiasz się o swoje bezpieczeństwo fizyczne i uważasz, że grozi Ci niebezpieczeństwo, natychmiast skontaktuj się z lokalnymi władzami.
5- Wiarygodne zaprzeczenie
Jeśli obawiasz się, że zostaniesz poddany wyłudzeniu, możesz dodać kolejną warstwę ochrony i odporności do swojej 24-wyrazowej frazy odzyskiwania, dodając drugą kopię zapasową (zwaną również hasłem) na urządzeniu Ledger.
Skutkuje to posiadaniem dwóch fraz odzyskiwania: jedna odblokuje normalny zestaw kont, druga wygeneruje nowy seed i odblokuje alternatywny zestaw kont z innym zestawem kluczy prywatnych i adresów, jak wyjaśniono tutaj.
Dlatego, jeśli kiedykolwiek ktoś poprosił Cię pod presją o „otworzenie i opróżnienie portfela sprzętowego”, mógłbyś użyć pierwszego kodu, pokazującego konto z minimalnymi aktywami. Dlatego ograniczenie szkód finansowych po Twojej stronie.
6- Rozproszone kopie zapasowe
Aby uniknąć grozy przerażenia w domu lub jeśli po prostu nie możesz znaleźć wystarczająco bezpiecznego miejsca na kopię zapasową, możesz chcieć podzielić kopię zapasową na różne lokalizacje. Możesz podzielić swoje 24 słowa na trzy grupy po 8 i rozdzielić je w trzech miejscach, ale wtedy zwiększysz ryzyko utraty lub zniszczenia kopii zapasowej (jeśli zaginie jeden element, gra się kończy).
Lepszą alternatywą byłoby podzielenie kopii zapasowej na trzy części, ale do odzyskania dostępu potrzebny jest tylko dostęp do dwóch części.
Jest to dość mało zaawansowane technologicznie i łatwe do zrozumienia.
Powiedzmy, że twoja fraza odzyskiwania to „ABC” (w naszym przykładzie potrzebne są tylko trzy słowa). Następnie tworzysz trzy kartki: „AB _”, „A _ C” i „_ BC”. Biorąc dowolne dwa kawałki, na pewno odzyskasz pełną frazę „ABC”.
Możesz to zrobić przewodnik online aby uzyskać więcej informacji o tym, jak to zrobić dla swojej frazy odzyskiwania 24 słów.
Last but not least
To trudny czas dla nas wszystkich. Wszystkim, którzy stali przy nas, dziękujemy. I każdemu klientowi Ledger, proszę zaufaj, że pracujemy przez całą dobę, aby upewnić się, że to się nigdy więcej nie powtórzy, obiecujemy zrobić wszystko, co możliwe, aby być godnym Twojego zaufania.
Jesteśmy w tym razem, a Ledger wyjdzie z tego, aby zapewnić Ci lepsze, silniejsze i bezpieczniejsze doświadczenie.
Źródło: https://www.ledger.com/blog/6-ways-to-face-the-data-breach