12/21/2020 | Повідомлення в блозі, Безпека
Шановні клієнти Ledger,
Як відомо, Ledger був мішенню кібератаки, яка призвела до злом даних у липні 2020 року. Вчора нам повідомили про дамп вмісту клієнтської бази даних Ledger на Raidforum. Ми вважаємо, що це вміст нашої бази даних електронної комерції з червня 2020 року.
Під час інциденту, у липні, ми залучили зовнішню організацію безпеки для проведення судово-медичної експертизи наявних журналів. Цей огляд журналів дозволив нам підтвердити, що приблизно 1 мільйон адрес електронної пошти було вкрадено, а також 9,532 XNUMX більш детальної особистої інформації (поштові адреси, ім’я, прізвище та номер телефону), які ми змогли конкретно ідентифікувати.
База даних, оприлюднена вчора, показує, що витік більшої частини детальної інформації, приблизно 272,000 XNUMX детальної інформації, такої як поштова адреса, прізвище, ім’я та номер телефону наших клієнтів. Ці деталі недоступні в журналах, які ми змогли проаналізувати. Прозорість у нашій діяльності та комунікації завжди була пріоритетом. Це не змінилося.
Крім чуток і різноманітних інтерпретацій цієї події, які з’явилися за останні кілька годин, я хочу сказати кілька простих, але фундаментальних речей, щоб поглянути на реальність цієї ситуації.
Від імені Леджера, ми дуже шкодуємо про цю ситуацію. Ми знаємо, що багато з вас були націлені на фішингові кампанії електронної пошти та SMS, і що це явно заважає. Я знаю, що це порушення в кращому випадку розчаровує, а в гіршому – обурює.
Наша мета №1 – забезпечити вам найкращий захист і безпеку ваших цифрових активів. Щоб бути дуже зрозумілим: ця злом даних не має зв’язку та не впливає на наші апаратні гаманці, додаток або ваші кошти. Ваші криптоактиви в безпеці. Незважаючи на те, що це порушення стосується лише інформації, пов’язаної з електронною комерцією.
Ledger робить все можливе, щоб ще більше посилити нашу безпеку даних: Протягом останніх кількох місяців ми разом із вами боролися з шахраями, які намагалися вкрасти ваші 24 слова. Це широко задокументовано на нашому сайті веб-сайт і блог. Тепер ви можете стежити за статусом поточних фішингових кампаній на одній сторінці: Постійні фішингові кампанії. Ми також найняли талантів світового рівня для нашого нового директора з маркетингу, який приєднається до нас за кілька днів. Ми ще більше зміцнюємо всі наші ресурси та зусилля безпеки – Програма Баунті, Темниця і всі процедури, які дозволять тестувати наші системи 24/7. Усі ці дії перераховані тут: Поле битви зі спробами фішингу.
Деякі з вас також висловлювали занепокоєння щодо потенційних фізичних атак, оскільки деякі з ваших адрес доставки були розголошені. Ми розуміємо емоції, викликані цією ситуацією, але важливо це визнати немає можливості встановити будь-яку кореляцію між даними, які витікали, і коштами у вашому гаманці.
Незважаючи на це, Ledger був розроблений з урахуванням загрози фізичного нападу, оскільки це завжди потенційна загроза. Є особливості та способи захисту:
- Якщо ви введете неправильний PIN-код три рази поспіль, пристрій скинеться після третьої неправильної спроби як захід безпеки.
(Подивитися: Скиньте до заводських налаштувань)
Незалежно від останніх подій, якщо ви зберігаєте багато цінності у своєму будинку, ми запрошуємо вас регулярно оцінювати свою власну схему безпеки та завжди застосовувати найкращі ринкові стандарти. Ви можете знайти багато актуальної інформації на https://www.ledger.com/academy & https://www.ledger.com/.
З огляду на це, більшість атак, з якими ви зіткнетеся, є онлайн-шахрайствами, які намагаються вкрасти ваші 24 слова. Ми ніколи не будемо говорити це занадто часто: головне – це НІКОЛИ НІКОЛИ не діліться своїми 24 словами. Навіть не Леджер. Ми ніколи не будемо просити вас про них. Крім того, Ledger ніколи не зв’яжеться з вами за допомогою текстових повідомлень або телефонних дзвінків. Багато хто запитував, чи можуть ваші кошти постраждати, якщо ви ніколи не поділитеся своїми 24 словами. Я буду дуже зрозумілий: НІ. Ваші кошти в безпеці.
Щоб поставити речі в перспективу і не підірвати нашу відповідальність, стало зрозуміло, що ми вступили в епоху, коли кібератак буде відбуватися все частіше; вони були на найвищому рівні в 2020 році (Найбільші в світі порушення та хаки даних — інформація прекрасна). Це зростаюча глобальна проблема, з якою ми всі стикаємося з цифровим прискоренням. Інвестування в майбутнє безпеки стало як ніколи необхідним і невідкладним. Це саме місія Ledger: ми постійно інвестуємо в покращення стандартів безпеки. Саме тому ми не повертатимемо гроші клієнтам, як пропонують деякі – натомість найкраще та найщиріше, що ми можемо запропонувати, — це наша відданість стати кращими та вкладати ці інвестиції, щоб постійно покращувати безпеку продуктів, які ми пропонуємо вам.
У цій боротьбі з #StopTheScammers, в дусі, який завжди був нашим і крипто-спільнотами, ви потребуємо вас на нашому боці.
Ми надішлемо необхідні оновлення, оскільки наш аналіз продовжує давати нашій спільноті повну прозорість щодо подій на цю тему на https://www.ledger.com/phishing-campaigns-status.
Якщо у вас є додаткові запитання, спершу перевірте FAQ і якщо там немає відповіді на ваше запитання, зв’яжіться з нами через службу підтримки.
З повагою,
Паскаль Готьє
Генеральний директор, Леджер
Версія Française
Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en securité.
Клієнти Chers Ledger,
Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. У нас є інформація про інформаційну базу клієнтів Ledger, яку можна опублікувати на Raidforum. Ces données registerraient à des contenus issus de notre base de données e-commerce en date de juin 2020.
У момент інциденту, в середині дня, ми беремо участь у організації зовнішньої безпеки для ефективної перевірки інформації (logs) доступні. Cet examen nous a permis de confirmation qu'environ 1 мільйон адресів електронної пошти avaient été volées et que 9 532 клієнтів étaient cares par une fuite d'information personnelles plus detaillées (adresses posted, nuté, prénom de ) nous Avons pu identifier specifiquement ces personnes et elles ont été notifiées.
La base de données rendue publique hier montre qu'un плюс grand sous-ensemble d'informations détaillées a été disulgué. Ce sont environ 272 000 utilisateurs qui sont cares. Ces details ne sont pas disponibles dans les logs que nous Avons pu Analyser.
La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n'a pas changé.
Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j'aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette.
Au nom de Ledger, je tiens à vous adresser nos profonds regrets za цю ситуацію. Nous savons que sures d'entre vous ont été visés par des campagnes de phishing за електронною поштою та sms, що є складовою вимогою, яка викликає неприємність. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d'entre vous.
Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et securité pour protéger vos données digitales.
Soyons clairs: vos crypto-monnaies sont en securité.
Cette fuite de données n'a aucun lien ni impact sur vos portefeuilles, l'application Ledger Live ou vos fonds.
Bien que cette situacija soit sicèrement regrettable, cette fuite ne care que des information liées au e-commerce.
Les équipes de Ledger s'engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la securité de nos données : кулон les derniers mois, nous avons combattu avec vous les шахраї (арнакери) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre сайт і власний блог. Vous pouvez suivre le statut de ces actions sur les campagnes de phishing тут.
Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d'Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources and enterprises de securité: Le Program Bounty, Le Donjon та опис процедур тестування систем 24h/24, 7j/7. L'ensemble de nos actions sont listées ici.
Certains d'entre vous ont aussi exprimé des préoccupations à propos d'attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l'émotion créée par cette position, il est important de comprendre qu'il n'existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.
Ситуація Indépendamment de cette, Ledger a été conçu en ayant en tête les menaces d'attaques physiques, dans la mesure où cela constitue dans l'absolu un risque potentiel. Il existe toute une série de moyens de vous protéger:
- Якщо ввести неправильний PIN-код, 3 fois de suite, le terminal se réinitialisera après la troisième arbitative incorrecte par mesure de securité. (Голос: Скиньте до заводських налаштувань)
- Si au lieu d'entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un другий PIN-код для терміналу Ledger. Відновіть два коди PIN-коду: un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Воір: Книга 101 — Частина 4: Розширені принципи безпеки)
- Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Не користуйтеся миттєвим доступом до резервних копій, щоб підвищити стійкість у відповідності до загрозливої статури. (Голос: Ledger 101 — Частина 3: Найкращі методи використання апаратного гаманця)
De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les marille. (Vous pourrez trouver des information pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)
Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. Для мене, Ledger ne vous contactera jamais par SMS на телефон.
Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair : НІ. Vos fonds sont en securité.
Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus frequentes ; elles ont été au plus haut en 2020 (Найбільші в світі порушення та хаки даних — інформація прекрасна). C'est un problème global croissant auquel nous devons tous faire face avec l'accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C'est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C'est pourquoi nous ne rembourserons pas l'achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous anganger dans l'amélioration continue qui nous caractérise et à investir afin de vous plus de vous de fri sécurité.
Це combat #StopTheScammers, fidèle à notre état d'esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.
Доповнюйте питання, які доповнюють, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.
Щирість,
Паскаль Готьє,
Генеральний директор де Леджер
Джерело: https://www.ledger.com/message-ledgers-ceo-data-leak