12/21/2020 | Blogginlägg, Säkerhet
Kära Ledger-kunder
Som ni vet riktades Ledger av en cyberattack som ledde till ett dataintrång i juli 2020. Igår informerades vi om dumpningen av innehållet i en Ledger-kunddatabas på Raidforum. Vi tror att detta är innehållet i vår e-handelsdatabas från juni 2020.
Vid tidpunkten för incidenten, i juli, anlitade vi en extern säkerhetsorganisation för att genomföra en kriminalteknisk granskning av tillgängliga loggar. Denna genomgång av loggarna gjorde det möjligt för oss att bekräfta att cirka 1 miljon e-postadresser hade stulits samt 9,532 XNUMX mer detaljerad personlig information (postadresser, namn, efternamn och telefonnummer) som vi kunde identifiera specifikt.
Databasen som offentliggjordes i går visar att en större delmängd detaljerad information har läckt ut, cirka 272,000 XNUMX detaljerad information såsom postadress, efternamn, förnamn och telefonnummer till våra kunder. Dessa detaljer finns inte i loggarna som vi kunde analysera. Öppenhet i vår verksamhet och kommunikation har alltid varit en prioritet. Detta har inte förändrats.
Utöver rykten och de olika tolkningarna av denna händelse som har gjorts de senaste timmarna vill jag säga några enkla men grundläggande saker för att sätta perspektiv på verkligheten i denna situation.
I Ledgers namn beklagar vi mycket djupt denna situation. Vi är medvetna om att många av er har varit inriktade på e-post- och SMS-nätfiske-kampanjer och att det helt klart är en olägenhet. Jag vet att detta intrång i bästa fall är en besvikelse och i värsta fall upprörande.
Vårt mål 1 kvarstår att ge dig bästa skydd och säkerhet för dina digitala tillgångar. För att vara väldigt tydlig: detta dataintrång har ingen länk eller påverkan på våra hårdvaruplånböcker, appen eller dina pengar. Dina kryptotillgångar är säkra. Även om det är mycket riktigt och uppriktigt beklagligt, gäller detta intrång endast e-handelsrelaterad information.
Ledger gör allt för att stärka vår datasäkerhet ännu mer: under de senaste månaderna har vi kämpat med bedragarna med dig i deras försök att stjäla dina 24 ord. Detta har utförligt dokumenterats på vår webbplats och blogg. Du kan nu följa statusen för pågående nätfiskekampanjer på en enda sida: Pågående nätfiske-kampanjer. Vi har också rekryterat talanger i världsklass för att vår nya CISO ska gå med på några dagar. Vi förstärker ytterligare alla våra säkerhetsresurser och ansträngningar - Bounty-programmet, den Trevligt och alla procedurer som gör det möjligt att testa våra system dygnet runt. Alla dessa åtgärder har listats här: Slagfältet mot nätfiskeförsök.
Några av er har också uttryckt oro över potentiella fysiska attacker eftersom vissa av era leveransadresser läcktes ut. Vi förstår känslorna som skapas av denna situation, men ändå viktigt att erkänna det det finns inget sätt att göra någon korrelation mellan data som har läckt ut och pengarna på din plånbok.
Oavsett har Ledger utformats med hotet om fysisk attack i åtanke, eftersom det alltid är ett potentiellt hot. Det finns funktioner och sätt att skydda dig själv:
- Om du anger fel PIN-kod tre gånger i rad kommer enheten att återställas efter det tredje felaktiga försöket som en säkerhetsåtgärd.
(Se: Återställ till fabriksinställningar)
Oavsett de senaste händelserna, om du behåller mycket värde i ditt hem, uppmanar vi dig att regelbundet utvärdera ditt eget säkerhetssystem och alltid tillämpa de bästa marknadsstandarderna. Du kan hitta mycket relevant information om https://www.ledger.com/academy & https://www.ledger.com/.
Med det sagt är de flesta attackerna du kommer att möta online-bedrägerier som försöker stjäla dina 24 ord. Vi kommer aldrig att säga det för ofta: det enda viktiga är att Dela ALDRIG dina 24 ord med NÅGON. Inte ens Ledger. Vi kommer aldrig be dig om dem. Ledger kommer aldrig att kontakta dig via sms eller telefonsamtal. Många har frågat om dina medel kan påverkas om du aldrig delar dina 24 ord. Jag ska vara väldigt tydlig: NEJ. Dina medel är säkra.
För att sätta saker i perspektiv och inte undergräva vårt ansvar har det blivit klart att vi har gått in i en era där cyberattacker kommer att inträffa mer och mer; de har haft en högsta nivå 2020 (Världens största dataintrång och hack - informationen är vacker). Det är ett växande globalt problem som vi alla står inför med digital acceleration. Att investera i framtiden för säkerhet har blivit mer nödvändigt och brådskande än någonsin. Det är just Ledgers uppdrag: vi investerar kontinuerligt för att förbättra säkerhetsstandarderna. Det är också därför vi inte kommer att återbetala kunder som vissa har föreslagit - istället är det bästa och mest uppriktiga vi kan erbjuda vårt engagemang för att bli bättre och göra dessa investeringar för att kontinuerligt uppgradera säkerheten för de produkter vi gör tillgängliga för dig.
I denna kamp mot #StopTheScammers, i den anda som alltid varit vår och kryptosamhällena, behöver vi dig vid vår sida.
Vi kommer att ge de nödvändiga uppdateringarna eftersom vår analys fortsätter att ge vårt samhälle full insyn i utvecklingen i detta ämne https://www.ledger.com/phishing-campaigns-status.
Om du har ytterligare frågor, vänligen kontrollera först FAQ och om din fråga inte besvaras där, kontakta oss via kundsupport.
Vänliga hälsningar,
Pascal Gauthier
VD, Ledger
Version Française
Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.
Chers kunder Ledger,
Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d'une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-handel en date de juin 2020.
Au moment de l'incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des information (loggar) disponibles. Cet examen nous a permis de confirmmer qu'environ 1 million d'adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d'informations personnelles plus détaillées (adresses postales, nom, prénom and numéro de téléphone) - nous avons pu identifierare spécifiquement ces personnes et elles ont été notifiées.
La base de données rendue publique hier montre qu'un plus grand sous-ensemble d'informations détaillées a été divulgué. Ce sont environment 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les loggar que nous avons pu analysator.
La transparence dans nos opérations et nos communication a toujours été une priorité. Cela n'a pas changé.
Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j'aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspektiv la réalité de cette situation.
Au nom de Ledger, je tiens à vous adresser nos profonds beklagar pour cette situation. Nous savons que certains d'entre vous ont été visés par des campagnes de Nätfiske par e-post et sms, qui constituent clairement une olägenhet. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d'entre vous.
Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.
Soyons-stolar: vos crypto-monnaies sont en sécurité.
Cette fuite de données n'a aucun lien ni impact sur vos portefeuilles, l'application Ledger Live ou vos fonds.
Bien que cette situation soit sincèrement beklagligt, cette fuite ne concerne que des information liées au e-commerce.
Les équipes de Ledger s'engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : hängsmycke les derniers mois, nous avons combattu avec vous les bedragare (bedragare) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon omfattande sur notre site et notre blogg. Vous pouvez suivre le statut de ces åtgärder sur les campagnes de Nätfiske här.
Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d'Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et efforts de sécurité: le Program Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h / 24, 7j / 7. L'ensemble de nos actions sont listées ici.
Certains d'entre vous ont aussi exprimé des préoccupations à propos d'attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l'émotion créée par cette situation, il est important de comprendre qu'il n'existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.
Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d'attaques physiques, dans la mesure où cela constitue dans l'absolu un risque potentiel. Il existe toute une série de moyens de vous protéger:
- Si vous entrez un code PIN incorrect 3 fois de suite, le terminal se réinitialisera après la troisième preliminär inkorrecte par mesure de sécurité. (Voir: Återställ till fabriksinställningar)
- Si au lieu d'entrer votre fras de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN: un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Voir: Ledger 101 - Del 4: Avancerade säkerhetsprinciper)
- Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d'accès immédiat à vos backups renforce votre résilience par rapport aux hot hot physiques. (Voir: Ledger 101 - Del 3: Bästa metoder när du använder en hårdvaruplånbok)
De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des information pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)
Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez: le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni telefon.
Nous avons reçu de nombreuses frågor pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair: INTE. Vos fonds sont en sécurité.
Häll remettre les choses en perspektiv et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes; elles ont été au plus haut en 2020 (Världens största dataintrång och hack - informationen är vacker). C'est un problème global croissant auquel nous devons tous faire face avec l'accélération digital. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C'est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanentence les standards de sécurité. C'est pourquoi nous ne rembourserons pas l'achat des portefeuilles comme certains ont pu le suggérer - mais plutôt que nous continuerons à nous engager dans l'amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.
Dans ce bekämpar #StopTheScammers, fidèle à notre état d'esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de total transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.
Häll toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.
Uppriktighet,
Pascal Gauthier,
VD de Ledger