12/21/2020 | Objave na blogu, Varnost
Spoštovane stranke Ledgerja,
Kot veste, je bil Ledger tarča kibernetskega napada, ki je privedel do kršitev podatkov julija 2020. Včeraj smo bili obveščeni o odlaganju vsebine podatkovne baze strank Ledger na Raidforum. Menimo, da je to vsebina naše baze podatkov o e-trgovini od junija 2020.
V času dogodka, julija, smo angažirali zunanjo varnostno organizacijo, ki je opravila forenzični pregled razpoložljivih dnevnikov. Ta pregled dnevnikov nam je omogočil potrditi, da je bilo ukradenih približno 1 milijon e-poštnih naslovov ter 9,532 podrobnejših osebnih podatkov (poštnih naslovov, imena, priimka in telefonske številke), ki smo jih lahko natančno identificirali.
Baza podatkov, ki je bila javno objavljena včeraj, kaže, da je ušel večji podnabor podrobnih informacij, približno 272,000 podrobnih informacij, kot so poštni naslov, priimek, ime in telefonska številka naših strank. Te podrobnosti niso na voljo v dnevnikih, ki smo jih lahko analizirali. Transparentnost našega delovanja in komuniciranja je bila vedno na prvem mestu. To se ni spremenilo.
Poleg govoric in različnih interpretacij tega dogodka, ki so se pojavile v zadnjih nekaj urah, želim povedati nekaj preprostih, a temeljnih stvari, da bi realnost te situacije postavili v perspektivo.
V Ledgerjevem imenu zelo globoko obžalujemo to situacijo. Zavedamo se, da ste bili mnogi od vas tarča lažnega predstavljanja po e-pošti in SMS-ih in da je to nedvomno nadloga. Vem, da je ta kršitev v najboljšem primeru razočaranje in v najslabšem primeru jezna.
Naš cilj številka 1 ostaja, da vam zagotovimo najboljšo zaščito in varnost za vaša digitalna sredstva. Naj bo zelo jasno: ta kršitev podatkov nima povezave ali vpliva na naše strojne denarnice, aplikacijo ali vaša sredstva. Vaša kripto sredstva so varna. Čeprav je resnično in iskreno obžalovanja vredno, se ta kršitev nanaša samo na informacije, povezane z e-trgovino.
Ledger dela vse, kar je v njegovi moči, da še bolj okrepi našo varnost podatkov: zadnjih nekaj mesecev smo se skupaj z vami borili proti prevarantom, ki so poskušali ukrasti vaših 24 besed. To je bilo obsežno dokumentirano na našem spletno stran in blog. Zdaj lahko spremljate stanje tekočih lažnih kampanj na eni strani: Tekoče lažno predstavljanje. Prav tako smo zaposlili talente svetovnega razreda za naš novi CISO, ki se nam bo pridružil čez nekaj dni. Še bolj krepimo vse naše varnostne vire in prizadevanja – Program Bountyje Dungeon in vse postopke, ki bodo omogočili 24/7 testiranje naših sistemov. Vsa ta dejanja so navedena tukaj: Bojišče proti poskusom lažnega predstavljanja.
Nekateri izmed vas so izrazili tudi zaskrbljenost glede morebitnih fizičnih napadov, saj so nekateri vaši naslovi za pošiljanje pricurljali. Razumemo čustva, ki jih povzroča ta situacija, vendar je pomembno, da to priznamo med podatki, ki so ušli, in sredstvi v vaši denarnici ni mogoče vzpostaviti nobene povezave.
Ne glede na to je bil Ledger zasnovan z mislijo na grožnjo fizičnega napada, saj je vedno potencialna grožnja. Obstajajo funkcije in načini za zaščito:
- Če trikrat zaporedoma vnesete napačno kodo PIN, se bo naprava zaradi varnostnega ukrepa ponastavila po tretjem napačnem poskusu.
(Glej: Ponastavite na tovarniške nastavitve)
Ne glede na nedavne dogodke, če imate v svojem domu veliko vrednosti, vas vabimo, da redno ocenjujete svojo varnostno shemo in vedno uporabljate najboljše tržne standarde. Veliko relevantnih informacij najdete na https://www.ledger.com/academy & https://www.ledger.com/.
Kot rečeno, večina napadov, s katerimi se boste soočili, so spletne prevare, ki poskušajo ukrasti vaših 24 besed. Nikoli ne bomo rekli prepogosto: pomembna stvar je, da NIKOLI ne deli svojih 24 besed z NIKOMER. Niti Ledger. Nikoli vas ne bomo prosili zanje. Prav tako Ledger ne bo nikoli stopil v stik z vami prek besedilnih sporočil ali telefonskega klica. Mnogi so se spraševali, ali bi lahko to vplivalo na vaša sredstva, če nikoli ne bi delili svojih 24 besed. Bom zelo jasen: št. Vaša sredstva so na varnem.
Če pogledamo stvari v perspektivo in ne spodkopavamo naše odgovornosti, je postalo jasno, da smo vstopili v obdobje, v katerem se bo kibernetskih napadov pojavljalo vedno več; leta 2020 so bili na najvišji ravni (Največji vdori v podatke in vdori na svetu — Informacije so čudovite). Z digitalnim pospeševanjem je vse večji globalni problem, s katerim se vsi soočamo. Vlaganje v prihodnost varnosti je postalo bolj potrebno in nujno kot kdaj koli prej. Natančno to je Ledgerjevo poslanstvo: nenehno vlagamo v izboljšanje varnostnih standardov. To je tudi razlog, zakaj strankam ne bomo vračali kupnine, kot so predlagali nekateri – namesto tega je najboljša in najbolj iskrena stvar, ki jo lahko ponudimo, naša predanost temu, da smo boljši in da te naložbe izvajamo za nenehno nadgrajevanje varnosti izdelkov, ki vam jih damo na voljo.
V tem boju za #StopTheScammers, v duhu, ki je bil vedno naš in kripto skupnosti, te potrebujemo ob sebi.
Posredovali bomo potrebne posodobitve, saj bo naša analiza še naprej zagotavljala naši skupnosti popolno preglednost glede razvoja te teme na https://www.ledger.com/phishing-campaigns-status.
Če imate dodatna vprašanja, najprej preverite FAQ in če tam ni odgovora na vaše vprašanje, se obrnite na nas prek podpore strankam.
S spoštovanjem,
Pascal Gauthier
Generalni direktor, Ledger
Version Française
Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.
Chers stranke Ledger,
Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d'une base de données clients Ledger avait été publiée sur Raidforum. Ces donnéesrespondraient à des contenus issus de notre base de données e-commerce en date de jun 2020.
Au moment de l'incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (dnevniki) disponibles. Cet examen nous a permis de confirmer qu'environ 1 million d'adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d'informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) – nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.
La base de données rendue publique hier montre qu'un plus grand sous-ensemble d'informations détaillées a été divulgué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les dnevniki que nous avons pu analizator.
La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n'a pas changé.
Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j'aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situacije.
Au nom de Ledger, je tiens à vous adresser nos profonds obžaluje za to situacijo. Nous savons que certains d'entre vous ont été visés par des campagnes de Ribarjenje po e-pošti in sms-u, qui constituent clairement une unnuisanty. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d'entre vous.
Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.
Soyons clairs: vos crypto-monnaies sont en sécurité.
Cette fuite de données n'a aucun lien ni influence sur vos portefeuilles, l'application Ledger Live ou vos fonds.
Bien que cette situacija soit sincèrement obžalovanja vredna, cette fuite ne concerne que des informations liées au e-commerce.
Les équipes de Ledger s'engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : obesek les derniers mois, nous avons combattu avec vous les prevaranti (scammers) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre spletno mesto in notre blog. Vous pouvez suivre le statut de ces actions sur les campagnes de Ribarjenje ICI.
Nous avons également recruté un talent international comme Responsable de la Sécurité des Systemes d'Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos resursi in napori de sécurité : le Program Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h/24, 7j/7. L'ensemble de nos actions sont listées ici.
Certains d'entre vous ont aussi exprimé des préoccupations à propos d'attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l'émotion créée par cette situation, il est important de comprendre qu'il n'existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.
Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d'attaques physiques, dans la mesure où cela constitue dans l'absolu un risque potentiel. Il existe toute une série de moyens de vous proteger :
- Če vnesete kodo PIN napačno 3 fois de suite, se terminal reinitialisera aprè la troisième tentative incorrecte par mesure de sécurité. (Glej: Ponastavite na tovarniške nastavitve)
- Si au lieu d'entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Glej: Ledger 101 — 4. del: Napredna varnostna načela)
- Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d'accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Glej: Ledger 101 — 3. del: Najboljše prakse pri uporabi strojne denarnice)
De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)
Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Mene pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni téléphone.
Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair : NON. Vos fonds sont en sécurité.
Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes ; elles ont été au plus haut en 2020 (Največji vdori v podatke in vdori na svetu — Informacije so čudovite). C'est un problème global croissant auquel nous devons tous faire face avec l'accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C'est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C'est pourquoi nous ne rembourserons pas l'achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous engager dans l'amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.
Dans ce combat #StopTheScammers, fidèle à notre état d'esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.
Pour toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.
iskrenost,
Pascal Gauthier,
CEO de Ledger