تحديث: الجهود المبذولة لحماية بياناتك ومقاضاة المحتالين
في حين أن الأمان في منتجات Ledger لا مثيل له – إن منتجات Ledger Nano هي محافظ الأجهزة الوحيدة المعتمدة بشكل مستقل في السوق – وتزال غير مخترقة، يهاجم المجرمون عملاء Ledger بمحاولات اصطياد المعلومات باستخدام أنواع مختلفة من الهجمات. في الآونة الأخيرة، اكتشفت Shopify أن عملاء Ledger قد تأثروا بسرقة بيانات Shopify التي كشفت عنها Shopify هنا، وأبلغت شركة Ledger.
<طويل جداً؛ لم أقرأه>
سيحاول الخصوم المتربصون دائماً الوصول إلى بيانات Ledger من زوايا مختلفة وعلينا الاستمرار في تعزيز وضعنا الأمني. هذه المشكلة شائعة على مستوى الصناعة وعلينا مواجهتها معاً، وتقوم Ledger بمضاعفة التزامنا بالقيام بدورنا في هذه المعركة.
في منشور المدونة هذا ، نطلع مستخدمينا على الإجراءات المستمرة لتعزيز ممارساتنا الأمنية ومتابعة العدالة في سرقة البيانات الخاصة بنا لعام 2020:
- نحن نعلن عن تغييرات في الطريقة التي تتعامل بها Ledger مع بيانات العملاء: هدفنا هو حذف بياناتك الشخصية تماماً مثل الاسم والعنوان ورقم الهاتف في أسرع وقت ممكن. ونحن بذلك نضع أنفسنا ومزودي الطرف الثالث أمام تحدي الاحتفاظ بهذه البيانات لفترة قصيرة جداً من الوقت بحسب ما تقتضيه الضرورة للوفاء بالتزاماتنا تجاه عملائنا (مثل تنفيذ بطلبك) والتزاماتنا تجاه القانون (مثل الالتزامات المحاسبية والقانونية). سيتم وضع البيانات التي يلزم الاحتفاظ بها في بيئة منفصلة أكثر.
- سنقوم بتنفيذ نموذج المراسلة حيث سيتم نقل معلومات الأمان والمعلومات التقنية الاستباقية المهمة من خلال Ledger Live. سيتم استخدام البريد الإلكتروني ووسائل التواصل الاجتماعي فقط لبث رسائل وإعلانات المنتجات.
- تخصص Ledger العديد من الموارد الإضافية لتحديد ومقاضاة المسؤولين عن الهجمات على Ledger وعملائها بما في ذلك تخصيص صندوق مكافآت (bounty) بقيمة 10 BTC للحصول على معلومات تؤدي إلى نجاح اعتقال المتورطين وملاحقتهم قضائياً. نأمل أن تنضم الشركات الأخرى إلى برنامج المكافآت وأن تساعد في جعل مجتمع الأصول المشفرة مكاناً أكثر أماناً.
تذكير أمان: لا تقوم أبداً بإعطاء الـ24 كلمة خاصتك لأي شخص. لن تطلب منك Ledger أبداً الـ 24 كلمة الخاصة بك. إذا طلب شخص ينتحل صفة Ledger منك الـ24 كلمة، فكن على يقين أنه مجرم ولا يمثل Ledger. المكان الوحيد الذي يتطلب إدخال الـ24 كلمة لبذرة الاسترداد خاصتك هو جهازك Ledger Nano – ولا يحدث هذا أبداً في LEDGER LIVE.
<طويل جداً؛ لم أقرأه>
في هذا المنشور سنلخص الأحداث المتعلقة بخرق البيانات لدينا بأكبر قدر ممكن من الشفافية. فريق Ledger بأكمله يعمل بكل جهد لمواجهة هذه التحديات. هذا المنشور طويل ولكننا نريد أن نقدم لك أكبر قدر ممكن من المعلومات فيما يتعلق بالتوجه الذي تتخذه Ledger للحفاظ على بياناتك آمنة والقبض على المجرمين الذين يرتكبون هذه الجرائم وملاحقاتهم قضائياً.
1- ماذا حدث
أولاً، لتلخيص الموقف بإيجاز: في 14 يوليو 2020، تواصل معنا باحث من خلال برنامج المكافآت (bounty) الخاص بنا لإبلاغنا بخرق بيانات في قاعدة بيانات التجارة الإلكترونية والتسويق لدينا. قمنا على الفور بإصلاح خرق البيانات وبدأنا بإجراء التحقيقات الداخلية. اكتشفنا أن مهاجماً ضاراً قد حصل على وصول غير مصرح به إلى قاعدة بيانات التجارة الإلكترونية والتسويق لدينا عبر مفتاح واجهة برمجة تطبيقات (API) طرف ثالث. من خلال التحاليل الجنائية التي أجرتها Ledger إلى جانب شركة الطرف الثالث Orange Cyberdefense للأدلة الجنائية، تمكنا من تحديد أكثر من مليون عنوان بريد إلكتروني وحوالي 9500 من سجلات العملاء تتضمن الاسم والعنوان والمنتجات المطلوبة وأرقام هواتف تمت سرقتها أيضاً. قمنا على الفور (في 29 يوليو 2020) بإخطار عملائنا وشاركنا معلومات الأدلة الجنائية مع السلطات المختصة.
في 20 ديسمبر 2020، وجدنا أن المحتويات الكاملة لقواعد البيانات المسروقة تمت إتاحتها للعموم على أحد المنتديات. بمجرد أن رأينا قواعد البيانات الكاملة هذه، أمكننا رؤية أن ما يقرب من 272,000 من سجلات العملاء متضمنة الاسم والعنوان ورقم الهاتف قد سُرقت بالإضافة إلى أكثر من مليون عنوان بريد إلكتروني. بمجرد اكتشافنا لذلك، حذرنا العملاء المتأثرين عبر البريد الإلكتروني بتاريخ (21 ديسمبر 2020).
الآن، لدينا معلومات جديدة لمشاركتها: في 23 ديسمبر 2020، تلقينا إخطاراً من مزود خدمة التجارة الإلكترونية لدينا، وهي شركة Shopify، بخصوص حادثة تتعلق ببيانات التاجر حيث حصل عضو (أعضاء) محتال من فريق الدعم ليدهم على سجلات معاملات العملاء، بما فيهم الخاصة بLedger. قام الوكيل (الوكلاء) بتصدير سجلات معاملات العملاء بشكل غير قانوني في شهري أبريل ويونيو 2020. وفقاً لشركة Shopify، يتعلق هذا بالحادثة المبلغ عنها في سبتمبر 2020، والتي تتعلق بأكثر من 200 تاجر، ولكن حتى 21 ديسمبر 2020، لم تكتشف Shopify أنه تم استهداف Ledger أيضاً في هذا الهجوم. أخبرتنا Shopify أنهم استعانوا بخبراء ومستشارين في الأدلة الجنائية الرقمية لمواصلة تحقيقاتهم في هذه المسألة وأبلغوا سلطات إنفاذ القانون في كل من كندا والولايات المتحدة الأمريكية بالأمر.
جنباً إلى جنب مع شركة Orange Cyberdefense للأدلة الجنائية، تمكنا من إثبات أن هذه الحادثة طالت ما يقرب من 292,000 عميل. في حين أن قاعدة البيانات تشبه تلك التي تم الكشف عنها في الهجوم السابق بنسبة 93٪، كان هناك ما يقرب من 20,000 سجل جديد للعملاء يحتوي على البريد الإلكتروني والاسم والعنوان البريدي والمنتج (المنتجات) المطلوبة ورقم الهاتف تم تضمينها في هذا الاختراق.
إذا كنت قد قمت بشراء منتج Ledger بعد نهاية يونيو 2020، أو إذا اشتريت منتجك من خارج Ledger.com، فلم يتم الكشف عن بياناتك في هذه الحوادث.
للحصول على إجابات على الأسئلة المتكررة حول كلا الهجومين، يُرجى زيارة الأسئلة الأكثر تكراراً. لتثقيف نفسك حول أنواع هجمات التصيد التي يتم تنفيذها، أو لإبلاغ فريقنا عن هجوم اصطياد معلومات، راجع هذه الصفحة.
خلال هذه الهجمات، تظل محافظ أجهزة Ledger بدون اختراق وعملتك المشفرة في أمان طالما لم تشارك أبداً الـ24 كلمة خاصتك مع أي شخص (خاصةً شخص يتظاهر بأنه يمثل Ledger — لن تطلب منك Ledger أبداً هذه المعلومات).
2- الإجراءات التي اتخذتها Ledger
بخصوص خرق البيانات المكتشَف في 14 يوليو
قمنا بتصحيح الخرق في 14 يوليو 2020. في 17 يوليو 2020، أبلغنا هيئة حماية البيانات الفرنسية. وبدأنا بإجراء عمليات الأدلة الجنائية مع Orange Cyberdefense في 20 يوليو 2020. كان من الحكمة والضرورة إكمال التحقيق مع Orange Cyberdefense وجمع أكبر عدد ممكن من الحقائق قبل إبلاغ عملائنا بخرق البيانات.
بمجرد حصولنا على التقرير النهائي، أرسلنا بريداً إلكترونياً إلى قاعدة بيانات عناوين البريد الإلكتروني الخاصة بنا بالكامل في 29 يوليو 2020. أبلغنا وسائل الإعلام بالموقف من خلال بيان صحفي في نفس اليوم. قدمنا شكوى إلى المدعي العام الفرنسي في 5 أغسطس 2020.
بخصوص حملات اصطياد المعلومات ضد عملائنا
شهدنا في الأشهر الأخيرة نشاطاً كبيراً لهجمات التصيد على عملائنا. لقد أجرينا اتصالات مكثفة لتحذير عملائنا بخصوص هذه الهجمات عبر البريد الإلكتروني وعلى موقعنا الإلكتروني وفي Ledger Live وعلى تويتر وريديت (Reddit) وغيرها من منصات الطرف الثالث. لقد أرسلنا بريداً إلكترونياً إلى قاعدة البيانات الخاصة بنا بأكملها بخصوص محاولات اصطياد المعلومات هذه في 22 أكتوبر 2020. ودخلنا في شراكة مع Webdrone، وهي شركة متخصصة في ذكاء الأعمال والجرائم الإلكترونية، لتحديد مؤلف (مؤلفي) المواقع الإلكترونية لاصطياد المعلومات. لدينا برنامج قيد التنفيذ مع Corsearch لإغلاق مواقع اصطياد المعلومات على وجه السرعة من خلال مسئولي التسجيل وحتى تاريخه قمنا بإغلاق 216 موقعاً وما زال العدّ مستمراً.
فريق حماية العلامة التجارية الداخلي لدينا تم تخصيصه بشكل حصري للتصدي لهجمات تصيد المعلومات منذ أن بدأت. وتتعاون Corsearch مع منظمات التحقيق الدولية نيابةً عنا. في 16 ديسمبر 2020، أطلقنا صفحة محددة لمشاركة التفاصيل الدقيقة لهجمات التصيد هذه لمساعدتك في التعرف عليها والإبلاغ عن أي هجمات جديدة تتعرض لها.
نحن نعمل مع Chainalysis ومنظمات أخرى لتتبع محافظ العملات المشفرة التي يستخدمها المحتالون. في حالة/عند اكتشافهم، سنبلغ سلطات إنفاذ القانون عنهلاتخاذ الإجراء المناسب (على سبيل المثال تجميد الأصول المشفرة في حالة نزولها على منصات التداول).
نواصل العمل مع العديد من المحققين الخاصين للعثور على الأفراد المسؤولين عن هذه الهجمات وتعقبهم. تتم مشاركة جميع المؤشرات والمعلومات التي تم جمعها مع السلطات ذات الصلة (لذا إذا كانت لديك معلومات جديدة من أجلنا، فيُرجى الاطلاع على برنامج المكافآت (bounty) أدناه). بالنسبة لحملات اصطياد المعلومات، قدمت Ledger أيضاً شكوى إلى المدعي العام الفرنسي وشاركت المعلومات التي جمعتها شركة Ledger والمحققون على أساس منتظم.
بسبب هذه الحوادث، شهدت Ledger زيادة هائلة في طلبات الحصول على معلومات مقارنة بهذا الوقت من العام الماضي. كل تواصل مع عملائنا مهم بالنسبة لنا ونريد الرد على كل شخص بمعلومات دقيقة. لتلبية هذا الاحتياج، قمنا بتوظيف المزيد من الموارد في 2020 ومستمرين في التوظيف في 2021. نأسف بشدة إن كنت تجد تأخيراً في دعم العملاء لدينا، فنحن نعمل بجد للرد على الجميع بأسرع ما يمكن. نأمل أن يساعدك منشور المدونة هذا و الأسئلة الأكثر تكراراً في العثور على الإجابات التي تبحث عنها على الفور.
بخصوص خرق بيانات Shopify
ما يزال التحقيق في الحادث الذي تضمن Shopify جارياً وسنواصل إطلاعك على آخر المستجدات مع تطور الموقف. اعتباراً من اليوم: أبلغنا هيئة حماية البيانات الفرنسية في 26 ديسمبر 2020. بعد الانتهاء من الأدلة الجنائية مع Orange Cyberdefense، أبلغنا جميع العملاء المتأثرين بهذا الاختراق عبر البريد الإلكتروني في 13 يناير 2021. ومن جانبنا نواصل العمل مع Shopify والمدعين العامين في القضية؛ والتحقيق جاري فعلاً تحت إشراف مكتب التحقيقات الفدرالي وشرطة الخيالة الكندية الملكية. كما أبلغت Ledger المدعي العام الفرنسي بالأحداث وقدمت شكوى ضد الوكيل (الوكلاء) المحتالون. نحن نواصل العمل مع Shopify باستخدام عمليات داخلية جديدة لضمان تعزيز الأمن.
3- الخطوات التالية
تعد عمليات خرق البيانات وهجمات التصيد مشكلة على مستوى الصناعة. نواصل العمل على حل هذه المشكلة كل يوم، واليوم نريد أن نشارككم بداية خطتنا الجديدة التي تهدف إلى زيادة حماية عملائنا.
في البداية، نفضل عدم الحصول على بياناتك؛ فثقتك قيمة أكبر بكثير بالنسبة لنا من الاحتفاظ ببياناتك. عندما تطلب منتجك مباشرةً من Ledger، نقوم بجمع معلوماتك حتى نتمكن من شحن طلبك إليك. تتطلب اللوائح المحاسبية والالتزامات القانونية أن نحتفظ ببيانات شراء التجارة الإلكترونية لفترة زمنية معينة. ومع ذلك، فنحن نقوم بتغيير الطريقة التي نتعامل بها مع هذه البيانات، لتجاوز مبادئ اللائحة العامة لحماية البيانات (GDPR) واتخاذ أفضل نهج مناسب لهذه الفئة:
- هدفنا هو حذف بياناتك الشخصية تماماً مثل الاسم والعنوان ورقم الهاتف في أسرع وقت ممكن. ونحن بذلك نضع أنفسنا ومزودي الطرف الثالث أمام تحدي الاحتفاظ بهذه البيانات لفترة قصيرة جداً من الوقت بحسب ما تقتضيه الضرورة للوفاء بالتزاماتنا تجاه عملائنا (مثل تنفيذ بطلبك) والتزاماتنا تجاه القانون (مثل الالتزامات المحاسبية والقانونية). سيتم وضع البيانات التي يلزم الاحتفاظ بها في بيئة منفصلة أكثر. على سبيل المثال، نهدف إلى وضع معلومات طلب التجارة الإلكترونية الخاصة بك مثل الاسم والعنوان ورقم الهاتف في بيئة منفصلة بعد ثلاثة أشهر من شحن منتجك.
- سنقوم بتقليل الأماكن التي يتم فيها عرض معلوماتك الشخصية. على سبيل المثال، سنقوم بحذف الاسم والعنوان ورقم الهاتف من رسائل البريد الإلكتروني الخاصة بتأكيد الطلب التي نرسلها إليك حتى لا تمر هذه البيانات عبر مزود خدمة البريد الإلكتروني للتجارة الإلكترونية الخاص بنا.
- سنقوم بتنفيذ نموذج المراسلة حيث سيتم نقل معلومات الأمان والمعلومات التقنية الاستباقية المهمة فقط من خلال Ledger Live. سيتم استخدام البريد الإلكتروني ووسائل التواصل الاجتماعي فقط لبث رسائل وإعلانات المنتجات.
- سنقوم بإجراء إعادة تقييم مفصلة لجميع موردينا وشركائنا لضمان استمرارهم في تلبية أعلى المعايير.
ثانياً، لا يمكن السماح لمثل هذه السرقات والهجمات بالمرور دون تحقيق أو ملاحقة قضائية. حتى تزدهر العملة المشفرة، يجب أن يكون هناك ثمن يتم دفعه مقابل ارتكاب عملية سرقة للعملات المشفرة. نواصل العمل مع جهات إنفاذ القانون وكذلك المحققين الخصوصيين في هذه القضايا، ومستمرين في إضافة المزيد من أسباب القوة:
- نقوم بتوظيف قدرات تحقيق خاصة إضافية، مما يضيف الخبرة والأساليب المختلفة للعثور على المسؤولين عن سرقات البيانات هذه. سنواصل العمل بالتنسيق مع سلطات إنفاذ القانون العالمية للعثور على المسؤولين وإلقاء القبض عليهم ومقاضاتهم حيثما كان ذلك ممكناً.
- لقد خصصنا مكافأة (bounty) لمن يدلي بمعلومات جديدة، تم الحصول عليها بشكل قانوني، معلومات تؤدي إلى تحديد واعتقال أولئك المسؤولين عن الهجمات ضد Ledger وعملائنا ومقاضاتهم بنجاح. لقد قامت شركة Ledger بتخصيص محفظة قيمتها 10 BTC (العنوان: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) كاحتياطي أولي للمكافأة (bounty). سيتم صرف هذا وفقاً لتقدير Ledger وستأخذ في الاعتبار عوامل مثل – هل تم الحصول على المعلومات بشكل قانوني؟ هل هي جديدة؟ ما مدى أهمية المعلومات وإلى أي مدى ستساعد في تقدم التحقيق وهل ستؤدي مباشرةً إلى التمكين من مقاضاة الفرد (الأفراد)؟ هل نجحت تلك المقاضاة؟ عموماً، سيتم إخضاعها لشروط برنامج المكافآت الخاص بنا (bounty) المتاحة هنا.
- نعلن عزمنا على التعاون مع الآخرين في الصناعة في هذه المبادرة. ونحن نتواصل مع شركات وأفراد الآخرين في المجال حول استمرار تمويل برنامج المكافآت هذا لمجابهة الجرائم المرتكبة ضد مجتمع الأصول المشفرة. بالنسبة للرؤساء التنفيذيون للشركات الأخرى في مجال الأصول المشفرة، إذا كنتم ترغبون في الانضمام إلينا في هذا المشروع، فيُرجى التواصل معنا في أسرع وقت ممكن.
نأسف بشدة لوقوع هذه الحوادث ولأي ألم أو توتر تسببوا به لعملائنا. الحفاظ على أمانك هو مهمة Ledger ونحن نتعامل مع هذه الحوادث بجدية بالغة على المستويين الشخصي والمهني. سنصدر قريباً حلاً تقنياً من شأنه عدم الاعتماد على الـ24 كلمة باعتبارها الركيزة الوحيدة لأمان محافظ الأجهزة لدينا وسنفتح الباب أمام تأمين الأموال للعملاء الأفراد. لقد زادت هذه الهجمات من تصميمنا على تطوير وإصدار منتجات تحافظ على سلامتك وسلامة أصولك المشفرة. لدينا منتجات وخدمات رائعة ومبتكرة وآمنة سنعلن عنها في 2021. ما تزال Ledger ملتزمة بتطوير أكثر المنتجات أماناً وحماية النظام البيئي للأصول المشفرة. نقطة.
من فضلك خذ هذه اللحظة للتذكر بأن عليك أن تكون يقظاً وأن تتخذ كل خطوة ممكنة لحماية نفسك. مع زيادة قيمة أصولك المشفرة وانضمام المزيد من الأشخاص إلى النظام البيئي، سيظل هذا محلّ تركيز. قدمت Crypto Casey عمل رائع في تلخيص الموقف وكيفية حماية نفسك في هذا الفيديو وهذا البودكاست. يُرجى اتخاذ جميع الخطوات للحفاظ على نفسك وعلى أصولك المشفرة في أمان.
نحن جميعاً هنا للسبب نفسه: نحن مؤمنون منذ زمن طويل بقيمة ومستقبل العملات المشفرة والأصول الرقمية. لقد تعلمنا في Ledger دروساً مهمة للغاية وسنواصل العمل الجاد لضمان أن ثقتك بنا في محلها. نشعر بالتواضع. وبهذا نصبح أقوى وأكثر مرونة.
خالص تحياتنا،
باسكال، إيان، أنطوان، مات، تشارلز.