Umgang mit einer Datenschutzverletzung im Juli 2020 im Bereich E-Commerce und Marketing: Schreiben der Ledger-Geschäftsleitung
Was passiert ist
Am 14. Juli 2020 wurden wir von einem Forscher, der auch Teilnehmer unseres Bounty-Programms ist, auf eine mögliche Datenverletzung auf der Ledger-Website aufmerksam gemacht. Wir haben diesen Verstoß nach Erhalt der Meldung unverzüglich behoben und eine interne Untersuchung durchgeführt. Eine Woche nach Schließung der Sicherheitslücke entdeckten wir, dass die Sicherheitslücke am 25. Juni 2020 durch unbefugte Dritte in umfassenderem Maße genutzt worden war, die sich Zugang zu unserer E-Commerce- und Marketing-Datenbank verschafft hatten, die für den Versand von Auftragsbestätigungen und Werbe-E-Mails verwendet wird und im Wesentlichen E-Mail-Adressen, aber auch Kontakt- und Auftragsdaten wie Vor- und Nachname, Postanschrift, E-Mail-Adresse und Telefonnummern von Bestellern enthält. Ihre Zahlungsinformationen und Kryptoguthaben sind sicher.
Um maximale Transparenz zu gewährleisten, wollen wir erläutern, was geschehen ist. Unbefugte Dritte hatten über einen API-Schlüssel Zugang zu einem Teil unserer E-Commerce- und Marketing-Datenbank. Der API-Schlüssel wurde deaktiviert und ist nicht mehr zugänglich.
Welche personenbezogenen Informationen waren betroffen?
Es handelte sich um Kontakt- und Bestelldaten. Dies betraf vorwiegend E-Mail-Adressen unserer Kunden, konkret etwa 1 Million Adressen. Bei der Untersuchung des Problem konnten wir überdies feststellen, dass außerdem Daten wie Vor- und Nachname, Postanschrift, Telefonnummer oder Bestellumfang von 9500 Kunden offengelegt worden waren. Aufgrund des Ausmaßes dieses Verstoßes und unserer Verpflichtungen gegenüber unseren Kunden haben wir beschlossen, alle Kunden über die Situation zu informieren.
Die 9500 Kunden, deren personenbezogene Detaildaten offengelegt worden waren, erhalten heute eine spezielle E-Mail von uns, um weitere Einzelheiten mitzuteilen.
Was Ihre E-Commerce-Daten betrifft, waren weder Zahlungsinformationen noch Zugangsdaten (Passwörter) von dieser Datenschutzverletzung betroffen. Sie betraf lediglich die Kontaktdaten unserer Kunden.
Diese Datenpanne hat weder eine Verbindung noch jegliche Auswirkungen auf unsere Hardware-Wallets, die Sicherheit von Ledger Live und Ihre Kryptoguthaben. Diese waren und sind sicher und zu keinem Zeitpunkt gefährdet.
Welche Maßnahmen wir bislang ergriffen haben und noch ergreifen werden
Da sich das Problem auf E-Commerce- und Marketing-Kontaktdaten beschränkte und wir es unverzüglich beheben konnten, haben wir uns die Zeit genommen, in Zusammenarbeit mit externen Fachleuten eine umfassende interne Untersuchung durchzuführen, bevor wir unsere Community warnten.
Am 17. Juli haben wir die französische Datenschutzbehörde CNIL informiert, die dafür Sorge trägt, dass das Datenschutzrecht bei der Erhebung, Speicherung und Nutzung personenbezogener Daten beachtet wird. Am 21. Juli haben wir uns gemeinsam mit unserem Partner Orange Cyberdefense daran gemacht, den potenziellen Schaden des Datenschutzverstoßes zu bewerten und mögliche Datenschutzverletzungen zu ermitteln.
Nach einer gründlichen Untersuchung durch unser Sicherheitsteam und Orange Cyberdefense konnten wir feststellen, dass es zu einer Offenlegung der E-Commerce- und Marketing-Datenbank gekommen war. Zum Zeitpunkt der Veröffentlichung dieses Artikels haben alle betroffenen Kunden bereits eine E-Mail mit dieser neuen Information erhalten.
Wir suchen aktiv nach Hinweisen darauf, dass die Datenbank im Internet zum Verkauf angeboten wird, haben dies jedoch bislang nicht feststellen können. Wir haben auch einen internen Penetrationstest durchgeführt und ziehen außerdem den ursprünglich für September geplanten externen Penetrationstest vor.
Wir erweitern den Umfang unseres Sicherheits- und Organisationsprogramms (HW & Vault), dessen ursprünglicher Schwerpunkt unsere Produkte waren, nun auch auf den E-Commerce. Wir unternehmen Schritte, um die in ISO 27001 aufgeführten Anforderungen zu erfüllen.
Wir werden bei den Behörden formell Anzeige erstatten, damit die Angelegenheit vollständig untersucht wird.
Damit für unsere Kunden maximaler Datenschutz gewährleistet wird, werden wir Ledger Live (die Begleit-App für Ihre Nano, die keine Informationen zu unseren Kunden speichert) sowie unsere Konten in den sozialen Medien (Twitter, Facebook und LinkedIn) zur zentralen Kontaktaufnahmestelle für Informationen zu neuen Produktentwicklungen umgestalten.
Klicken Sie hier, um sich über unsere Datenschutzrichtlinien zu informieren und zu erfahren, wie wir Ihre Daten nutzen.
Was Sie tun können
Wir empfehlen unseren Kunden, Vorsicht walten zu lassen: Hüten Sie sich stets vor Phishing-Versuchen durch betrügerische Kriminelle. Einfach gesagt, wird Sie Ledger niemals nach Ihrer 24-Wort-Wiederherstellungsphrase fragen. Wenn Sie eine E-Mail erhalten, die so aussieht, als käme sie von Ledger, in der aber nach Ihren 24 Wörtern gefragt wird, dann können Sie fest davon ausgehen, dass es sich um einen Phishing-Versuch handelt.
Obwohl wir alles in unserer Macht Stehende tun, empfehlen wir Ihnen trotzdem, den Sicherheitsbereich der Ledger Academy zu besuchen, um sich über die allgemeinen Sicherheitsgrundlagen zu informieren und insbesondere unseren Artikel zu Phishing-Angriffen zu lesen.
Wir bedauern diesen Vorfall sehr. Wir nehmen Datenschutz sehr ernst. Wir haben dieses Problem dank unseres eigenen Bug-Bounty-Programms entdeckt und sofort behoben. Unabhängig von allen Maßnahmen, die wir unternommen haben, um das Problem zu beheben und zu vermeiden, möchten wir uns aufrichtig für die Unannehmlichkeiten entschuldigen, die diese Angelegenheit unseren Kunden bereitet hat.
Wenn Sie Fragen haben, lesen Sie unsere FAQ. Ausführliche Informationen erhalten Sie direkt über unseren Kundensupport.
Klicken Sie hier, um sich über unsere Datenschutzrichtlinien zu informieren und zu erfahren, wie wir Ihre Daten nutzen.