12/21/2020 | UlTIMOS BLOGS, Segurança
Prezados clientes da Ledger,
Como você sabe, Ledger foi alvo de um ataque cibernético que levou a uma violação de dados em julho de 2020. Ontem, fomos informados sobre o despejo do conteúdo de um banco de dados de clientes do Ledger no Raidforum. Acreditamos que este seja o conteúdo de nosso banco de dados de e-commerce a partir de junho de 2020.
Na época do incidente, em julho, contratamos uma organização de segurança externa para realizar uma análise forense dos logs disponíveis. Essa revisão dos logs nos permitiu confirmar que aproximadamente 1 milhão de endereços de e-mail foram roubados, bem como 9,532 informações pessoais mais detalhadas (endereços postais, nome, sobrenome e número de telefone) que pudemos identificar especificamente.
O banco de dados divulgado publicamente ontem mostra que um subconjunto maior de informações detalhadas vazou, aproximadamente 272,000 informações detalhadas, como endereço postal, sobrenome, nome e número de telefone de nossos clientes. Esses detalhes não estão disponíveis nos logs que pudemos analisar. A transparência em nossas operações e comunicações sempre foi uma prioridade. Isso não mudou.
Além dos rumores e interpretações diversas deste evento que foram feitas nas últimas horas, quero deixar algumas coisas simples, mas fundamentais para colocar em perspectiva a realidade desta situação.
Em nome de Ledger, lamentamos profundamente esta situação. Estamos cientes de que muitos de vocês foram alvo de campanhas de phishing por e-mail e SMS e que isso é claramente um incômodo. Eu sei que essa violação é decepcionante na melhor das hipóteses e irritante na pior.
Nosso objetivo número 1 continua sendo fornecer a você a melhor proteção e segurança para seus ativos digitais. Para ser bem claro: essa violação de dados não tem vínculo nem impacto em nossas carteiras de hardware, no aplicativo ou em seus fundos. Seus ativos de criptografia estão seguros. Embora muito verdadeira e sinceramente lamentável, essa violação diz respeito apenas a informações relacionadas ao comércio eletrônico.
A Ledger está fazendo tudo ao seu alcance para reforçar ainda mais nossa segurança de dados: nos últimos meses, temos lutado contra os golpistas com você na tentativa de roubar suas 24 palavras. Isso foi amplamente documentado em nosso site e blog. Agora você pode acompanhar o status das campanhas de phishing em andamento em uma única página: Campanhas de phishing em andamento. Também recrutamos talentos de classe mundial para nosso novo CISO que se juntará a nós em alguns dias. Estamos fortalecendo ainda mais todos os nossos recursos e esforços de segurança – o Programa de recompensas, Masmorra e todos os procedimentos que permitirão testar nossos sistemas 24 horas por dia, 7 dias por semana. Todas essas ações foram listadas aqui: O campo de batalha contra tentativas de phishing.
Alguns de vocês também expressaram preocupações sobre possíveis ataques físicos, pois alguns de seus endereços de remessa vazaram. Compreendemos as emoções criadas por esta situação, mas é importante reconhecer que não há como fazer qualquer correlação entre os dados que vazaram e os fundos em sua carteira.
Independentemente disso, o Ledger foi projetado com a ameaça de ataque físico em mente, pois é sempre uma ameaça em potencial. Existem recursos e maneiras de se proteger:
- Se você inserir um código PIN incorreto três vezes seguidas, o dispositivo será redefinido após a terceira tentativa incorreta como medida de segurança.
(Vejo: Redefinir para as configurações de fábrica)
Independentemente dos acontecimentos recentes, se guarda muito valor na sua casa, convidamo-lo a avaliar regularmente o seu próprio esquema de segurança e aplicar sempre os melhores padrões de mercado. https://www.ledger.com/academy & https://www.ledger.com/.
Dito isto, a maioria dos ataques que você enfrentará são golpes online que tentam roubar suas 24 palavras. Nunca diremos isso com muita frequência: a única coisa importante é NUNCA compartilhe suas 24 palavras com NINGUÉM. Nem mesmo Ledger. Nós nunca vamos pedir por eles. Além disso, o Ledger nunca entrará em contato com você por mensagens de texto ou telefonemas. Muitos perguntaram se seus fundos poderiam ser afetados se você nunca compartilhasse suas 24 palavras. Serei bem claro: NÃO. Seus fundos estão seguros.
Para colocar as coisas em perspectiva e não minar nossa responsabilidade, ficou claro que entramos em uma era em que os ataques cibernéticos ocorrerão cada vez mais; eles estiveram em um pico histórico em 2020 (As maiores violações e hacks de dados do mundo — a informação é linda). É um problema global crescente que todos estamos enfrentando com a aceleração digital. Investir no futuro da segurança tornou-se mais necessário e urgente do que nunca. Essa é precisamente a missão da Ledger: investimos continuamente para melhorar os padrões de segurança. É também por isso que não reembolsaremos os clientes como alguns sugeriram – em vez disso, a melhor e mais sincera coisa que podemos oferecer é nossa dedicação em sermos melhores e fazer esses investimentos para atualizar continuamente a segurança dos produtos que disponibilizamos para você.
Nesta luta para #StopTheScammers, no espírito que sempre foi nosso e das comunidades criptográficas, precisamos de você ao nosso lado.
Daremos as atualizações necessárias à medida que nossa análise continua a dar total transparência à nossa comunidade sobre os desenvolvimentos deste tópico em https://www.ledger.com/phishing-campaigns-status.
Se você tiver mais alguma dúvida, verifique primeiro o Perguntas frequentes e se sua pergunta não for respondida lá, entre em contato conosco através do suporte ao cliente.
Atenciosamente,
Pascal Gauthier
CEO, Razão
Versão francesa
Malgré la fuite de données du mois de juillet, your crypto-actifs sont en securité.
Clientes Ches Ledger,
Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informa que le contenu d'une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce na data de junho de 2020.
Au moment de l'incident, en juillet, nous avons engagé une organization de sécurité externe pour effectuer un examen très précis des informations (toras) disponíveis. Cet examen nous a permis de confirmer qu'environ 1 milhão d'adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d'informations personalles plus détaillées (endereços postais, nom, prénom et numbero de téléphone) – nous avons pu identificador spécifiquement ces personnes et elles ont été notifiées.
La base de données rendue publique hier montre qu'un plus grand sous-ensemble d'informations détaillées a été divulgadoué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles em les toras que nous avons pu analisador.
La transparence dans nos opérations et nos communication toujours été une priorité. Cela n'a pas change.
Face aux rumeurs et aux diversas interpretações de cet événement sur ces dernières heures, j'aimerais rappeler quelques elementos simples mais fundamaux pour remettre em perspectiva a realité de esta situação.
Au nom de Ledger, je tiens à vous adresser nos profundos arrependimentos para esta situação. Nous savons que sures d'entre vous ont été visés par des campagnes de Phishing par email et sms, qui constituinte clairement une incômodo. Nous sommes conscients que cet événement peut représenter un désagrément pour Certaines et Certain d'entre vous.
Notre priorité numbero 1 réside dans le fait de vous apporter la meilleure protection andt sécurité pour protéger your données digitales.
Vamos ser claros: vos crypto-monnaies sot en sécurité.
Cette fuite de données n'a aucun lien ni impact sur vos portefeuilles, l'application Ledger Live ou vos fonds.
Bem que esta situação soit sincerament lamentable, cette fuite ne concerne que des informations liées au e-commerce.
Les équipes de Ledger s'engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : pendente les derniers mois, nous avons combattu avec vous les golpistas (golpistas) face às suas tentativas de recuperação de 24 mots. Cela a été documenté de façon extensa sur notre blog site e notre. Você pode acompanhar o status dessas ações nas campanhas de Phishing ici.
Nous avons également recruta um talento internacional como Responsable de la Securité des Systèmes d'Information qui nous rejoindra dans les tous prochains jours. Nous reforçons en permanence nos recursos e esforços de segurança : o Program Bounty, o Donjon e todos os procedimentos de teste dos sistemas 24h/24, 7j/7. L'ensemble de nos actions sont listées ici.
Certain d'entre vous ont aussi exprimé des preoccupations à propos d'attaques physiques potentielles dès lors que surees adresses postales auraient fuité. Si nous comprenons l'émotion créée par cette Situation, il est important de comprendre qu'il n'existe aucun moyen de faire une corrélation between les données qui ont fuité et les fonds sur votre portefeuille.
Independentemente da situação, Ledger a été conçu en ayant en tête les menaces d'attaques physiques, dans la mesure où cela constitue dans l'absolu un risque potentiel. Il existe toute une series de moyens de vous protéger :
- Se você entrar com um código PIN incorreto 3 vezes de suíte, o terminal será reinicializado após a troca temporária incorreta por medida de segurança. (Veja: Redefinir para as configurações de fábrica)
- Se você entrar em sua frase de segurança para o chaque fois, você poderá colocar o rattacher em um segundo código PIN no seu terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normalux et un qui ouvre une versão alternativa de vossos comptes. (Veja: Ledger 101 - Parte 4: Princípios de segurança avançados)
- Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d'accès immédiat a seus backups renforce sua resiliência par rapport aux ameaças físicas. (Veja: Ledger 101 - Parte 3: Melhores práticas ao usar uma carteira de hardware)
De forma geral e independente de eventos, se vous gardez beaucoup de valeur chez vous, nous vous invitons ao évaluer regulièrement seu propre system de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)
Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui esseieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus importante est de ne jamais partager vos 24 mots avec personne. Meme pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais por SMS ni telphone.
Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être effectés sans jamais partager les 24 mots. Je vais être très clair : NON. Seus fundos são em segurança.
Pour remettre les chooses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus frequentes ; elles ont été au plus haut en 2020 (As maiores violações e hacks de dados do mundo — a informação é linda). C'est un problem global croissant auquel nous devons tous faire face avec l'acceleration digitale. Investir dans le futur de la sécurité é mais necessário e urgente que jamais. C'est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de securité. C'est pourquoi nous ne rembourserons pas l'achat des portefeuilles comme sures ont pu le suggérer – mais plutôt que nous continuerons à nous engajador dans l'amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de segurança.
Dans ce combat #StopTheScammers, fidèle à notre état d'esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Nous ne manquerons pas de vous communiquer toute nouvelle information necessaire sur ce sujet dans une logic of totale transparente avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.
Para todas as perguntas complementares, convidamos você a ler a página Perguntas frequentes dédiée à ce sujet. Nous nous tenons également à sua disposição com nossos clientes de serviço.
sinceramente,
Pascal Gautier,
CEO da Ledger