Update: Maßnahmen zum Schutz Ihrer Daten und zur Verfolgung der Betrüger
English | Français | Español | Deutsch
Während die Sicherheit von Ledger-Produkten unübertroffen ist – Ledger Nano-Produkte sind die einzigen unabhängig zertifizierten Hardware-Wallets auf dem Markt – und weiterhin intakt bleibt, unternehmen Kriminelle immer wieder Phishing-Versuche gegen Ledger-Kunden und greifen dabei auf verschiedene Angriffsarten zurück. Vor kurzem entdeckte Shopify, dass Ledger-Kunden von dem Shopify-Datendiebstahl (siehe hier) betroffen waren, und benachrichtigte Ledger.
<TL;DR>
Zielgerichtete Angreifer werden immer wieder versuchen, über verschiedene Wege auf die Daten von Ledger zuzugreifen, weshalb wir unsere Sicherheitsvorkehrungen kontinuierlich verstärken müssen. Dies ist ein Problem, von dem die gesamte Branche betroffen ist und das wir gemeinsam bekämpfen müssen. Ledger wird seinen Beitrag dazu deutlich erhöhen.
In diesem Blogbeitrag informieren wir unsere Benutzer über unsere laufenden Maßnahmen zur Stärkung unserer Sicherheitspraktiken und zur Aufklärung des Datendiebstahls von 2020:
- Wir kündigen Änderungen in der Art und Weise an, wie Ledger zukünftig mit Kundendaten umgehen wird: Unser Ziel ist es, Ihre persönlichen Daten wie Name, Adresse und Telefonnummer so schnell wie möglich vollständig zu löschen. Wir streben an, diese Daten nur so kurz wie nötig aufzubewahren, um unseren Verpflichtungen gegenüber unseren Kunden (z.B. die Erfüllung Ihrer Bestellung) und allen Rechtsvorschriften (z.B. Rechnungslegungs- und Gesetzesvorschriften) nachzukommen. Dies gilt auch für Drittanbieter. Daten, die aufbewahrt werden müssen, werden in einer anderen, separaten Umgebung gespeichert.
- Wir werden ein Benachrichtigungssystem einführen, bei dem proaktiv wichtige sicherheitsbezogene und technische Informationen über Ledger Live übermittelt werden. E-Mail und soziale Medien werden NUR für die Verbreitung von Produktnachrichten und Ankündigungen verwendet.
- Ledger setzt zahlreiche zusätzliche Ressourcen ein, um die für die Angriffe auf Ledger und Ledger-Kunden verantwortlichen Personen zu identifizieren und strafrechtlich zu verfolgen, einschließlich einer Gesamtbelohnung von zehn BTC für Informationen, die zur erfolgreichen Verhaftung und Strafverfolgung führen. Wir hoffen, dass sich weitere Unternehmen dem Bounty-Programm anschließen und dazu beitragen, die Krypto-Community sicherer zu machen.
Sicherheitserinnerung: Geben Sie NIEMALS und an NIEMANDEN Ihre 24 Wörter weiter. Ledger wird Sie NIEMALS nach Ihren 24 Wörtern fragen. Wenn jemand, der sich als Ledger ausgibt, nach Ihren 24 Wörtern fragt, ist das ein Betrüger und nicht Ledger. Der EINZIGE Ort, an dem die 24 Wörter eingegeben werden müssen, ist in Ihrem Ledger Nano – NIEMALS IN LEDGER LIVE.
<TL;DR>
In diesem Beitrag werden wir die Ereignisse im Zusammenhang mit dem Diebstahl unserer Daten so transparent wie möglich zusammenfassen. Das gesamte Ledger-Team arbeitet sehr hart daran, diese Herausforderungen zu bewältigen. Dieser Beitrag ist lang, aber wir möchten Ihnen so viele Informationen wie möglich darüber bereitstellen, was Ledger unternimmt, um Ihre Daten zu schützen und diejenigen, die diese Verbrechen begangen haben, zu fassen und strafrechtlich zu verfolgen.
1 – Was ist passiert?
Zunächst kurz eine Zusammenfassung der bisherigen Situation: Am 14. Juli 2020 kontaktierte uns ein Forscher über unser Bounty-Programm, um uns über einen Datendiebstahl aus unserer E-Commerce- und Marketing-Datenbank zu informieren. Die Sicherheitslücke wurde umgehend behoben, und es wurden interne Untersuchungen eingeleitet. Wie wir herausfanden, hatte sich ein böswilliger Angreifer über den API-Schlüssel eines Drittanbieters unbefugten Zugang zu unserer E-Commerce- und Marketing-Datenbank verschafft. Die von Ledger und dem Forensik-Unternehmen Orange Cyberdefense durchgeführte forensische Untersuchung ergab, dass über eine Million E-Mail-Adressen und etwa 9.500 Kundendatensätze mit Namen, Adressen, bestellten Produkten und Telefonnummern gestohlen wurden. Wir informierten umgehend unsere Kunden (am 29. Juli 2020) und leiteten die forensischen Informationen an die zuständigen Behörden weiter.
Am 20. Dezember 2020 wurde der gesamte Inhalt der gestohlenen Datenbanken in einem Forum veröffentlicht. Bei der Überprüfung der gesamten Datenbanken stellten wir fest, dass neben den mehr als eine Million E-Mail-Adressen auch etwa 272.000 Kundendatensätze mit Namen, Adressen und Telefonnummern gestohlen worden waren. Wir warnten die betroffenen Kunden unverzüglich per E-Mail (am 21. Dezember 2020).
Jetzt haben wir neue Informationen: Am 23. Dezember 2020 erhielten wir eine Benachrichtigung von unserem E-Commerce-Dienstleister Shopify über einen Vorfall, bei dem böswillige Mitglieder des Kundendienstteams Kundendaten von Händlern, darunter auch die von Ledger, erlangt haben. Der oder die Mitarbeiter exportierten im April und Juni 2020 illegal Aufzeichnungen zu Kundentransaktionen. Laut Shopify steht dies im Zusammenhang mit dem im September 2020 gemeldeten Vorfall, von dem die Daten von mehr als 200 Händlern betroffen waren. Bis zum 21. Dezember 2020 hatte Shopify jedoch nicht entdeckt, dass auch Ledger Ziel dieses Angriffs gewesen war. Shopify teilte uns mit, dass man Experten und Anwälte für Cyberkriminologie beauftragt hat, die diesbezüglichen Untersuchungen fortzusetzen, und man die Angelegenheit den Strafverfolgungsbehörden sowohl in Kanada als auch in den USA gemeldet hat.
Gemeinsam mit dem Forensik-Unternehmen Orange Cyberdefense konnten wir feststellen, dass etwa 292.000 Kunden von dem Datendiebstahl betroffen sind. Während die Datenbank zu 93% mit derjenigen übereinstimmt, die bei dem vorherigen Angriff offengelegt wurde, umfasst dieser Diebstahl etwa 20.000 neue Kundendatensätze, darunter E-Mail-Adressen, Namen, Postanschriften, bestellte Produkte und Telefonnummern.
Wenn Sie ein Ledger-Produkt nach Ende Juni 2020 oder nicht auf Ledger.com gekauft haben, sind Ihre Daten von diesen Vorfällen nicht betroffen.
Antworten auf häufig gestellte Fragen zu diesen beiden Angriffen finden Sie in den FAQ. Um sich über die verschiedenen Arten von Phishing-Angriffen zu informieren oder um unserem Team einen Phishing-Angriff zu melden, besuchen Sie bitte diese Seite.
Trotz dieser Angriffe bleiben die Ledger-Hardware-Wallets unbeschadet und Ihre Kryptowährungen sicher, SOLANGE SIE NIEMALS IHRE 24 WÖRTER MIT JEMANDEM TEILEN (insbesondere nicht mit jemandem, der vorgibt, Ledger zu sein – Ledger wird Sie niemals nach diesen Informationen fragen).
2 – Von Ledger ergriffene Maßnahmen
Bezüglich des am 14. Juli festgestellten Datendiebstahls
Die Sicherheitslücke wurde am 14. Juli 2020 behoben. Am 17. Juli 2020 informierten wir die französische Datenschutzbehörde. Am 20. Juli 2020 wurde eine forensische Untersuchung eingeleitet, die zusammen mit Orange Cyberdefense durchgeführt wurde. Es war erforderlich und vernünftig, zuerst die Untersuchung abzuschließen und so viele Daten wie möglich zusammenzutragen, bevor wir unsere Kunden über den Diebstahl informierten.
Sobald uns der Abschlussbericht vorlag, versendeten wir am 29. Juli 2020 eine E-Mail an unseren gesamten E-Mail-Verteiler.Am selben Tag informierten wir auch die Medien mit einer Pressemitteilung über die Situation. Am 5. August 2020 erstatteten wir bei der französischen Staatsanwaltschaft Anzeige.
Bezüglich der Phishing-Angriffe gegen unsere Kunden
In den letzten Monaten haben wir eine hohe Anzahl von Phishing-Angriffen auf unsere Kunden festgestellt. Wir warnen unsere Kunden per E-Mail, auf unserer Website, auf Ledger Live sowie auf Twitter, Reddit und anderen Drittanbieter-Plattformen eindringlich vor diesen Angriffen. Am 22. Oktober 2020 versendeten wir diesbezüglich eine E-Mail an unseren gesamten E-Mail-Verteiler. Wir arbeiten mit Webdrone, einem auf Geschäftsanalytik und Cyberkriminalität spezialisierten Unternehmen, zusammen, um die Urheber der Phishing-Websites zu identifizieren. Zudem betreiben wir zusammen mit Corsearch ein Programm, im Rahmen dessen wir Phishing-Websites schnell über die Registrierstellen vom Netz nehmen können. Bisher haben wir über 216 Websites abgeschaltet, Tendenz steigend.
Unser internes Markenschutzteam hat sich seit Beginn der Phishing-Angriffe ausschließlich mit diesen beschäftigt. Corsearch arbeitet in unserem Auftrag mit internationalen Ermittlungsbehörden zusammen. Am 16. Dezember 2020 richteten wir eine spezielle Seite ein, auf der verschiedenen Arten von Phishing-Angriffen beschrieben werden, damit Sie solche leichter erkennen und diese melden können.
Wir arbeiten mit Chainalysis und anderen Organisationen zusammen, um die von den Betrügern verwendeten Krypto-Wallets aufzuspüren. Falls/Sobald sie entdeckt werden, werden wir sie den Strafverfolgungsbehörden melden, damit diese entsprechende Maßnahmen ergreifen können (z.B. Einfrieren der Kryptowährungen, falls sich diese auf Kryptobörsen befinden).
Wir arbeiten weiterhin mit mehreren privaten Ermittlern zusammen, um die für diese Angriffe verantwortlichen Personen zu finden und strafrechtlich zu verfolgen. Alle gesammelten Hinweise und Informationen werden an die zuständigen Behörden weitergeleitet (falls Sie über neue Informationen zu dem Fall verfügen, sei auf das Bounty-Programm unten verwiesen). Außerdem hat Ledger wegen der Phishing-Angriffe bei der französischen Staatsanwaltschaft Anzeige erstattet und leitet die von Ledger und den Ermittlern zusammengetragenen Informationen regelmäßig weiter.
Aufgrund dieser Vorfälle hat Ledger im Vergleich zum Vorjahreszeitraum einen exponentiellen Anstieg der Informationsanfragen verzeichnet. Jede Interaktion mit unseren Kunden ist uns wichtig, und wir wollen jede Anfrage möglichst präzise beantworten. Um der gestiegenen Nachfrage gerecht zu werden, haben wir im Jahr 2020 mehr Mitarbeiter eingestellt und werden dies auch im Jahr 2021 tun. Es tut uns außerordentlich leid, wenn es zu Verzögerungen bei der Bearbeitung von Kundenanfragen kommt. Wir arbeiten hart daran, alle Anfragen so schnell wie möglich zu beantworten. Wir hoffen, dass dieser Blogbeitrag und die FAQ Ihnen helfen, schnell die Antworten zu finden, nach denen Sie suchen.
Bezüglich des Datendiebstahls bei Shopify
Die Untersuchung des Vorfalls bei Shopify ist noch nicht abgeschlossen und wir werden Sie weiterhin über die neuesten Entwicklungen auf dem Laufenden halten. Der Stand von heute ist: Die französische Datenschutzbehörde wurde am 26. Dezember 2020 informiert. Nach Abschluss der mit Orange Cyberdefense durchgeführten forensischen Untersuchung informierten wir am 13. Januar 2021 alle von dem Datendiebstahl betroffenen Kunden per E-Mail. Wir arbeiten weiterhin mit Shopify und der Staatsanwaltschaft an dem Fall. Eine vom FBI und der kanadischen Bundespolizei RCMP geleitete Untersuchung ist bereits im Gange. Ledger hat den Vorfall auch der französischen Staatsanwaltschaft gemeldet und Anzeige gegen den/die betrügerischen Mitarbeiter erstattet. Wir setzen unsere Zusammenarbeit mit Shopify fort und implementieren neue interne Prozesse, um mehr Sicherheit zu gewährleisten.
3 – Die nächsten Schritte
Datendiebstahl und Phishing-Angriffe sind für die gesamte Branche ein Problem. Wir beschäftigen uns tagtäglich mit Lösungen und möchten Ihnen heute den ersten Teil unseres neuen Plans vorstellen, mit dem wir den Schutz unserer Kunden verbessern wollen.
Zunächst einmal würden wir es vorziehen, gar nie in den Besitz Ihrer Daten zu kommen. Ihr Vertrauen ist uns viel mehr wert, als über Ihre Daten zu verfügen. Wenn Sie Ihr Produkt direkt bei Ledger bestellen, erfassen wir jedoch Ihre Daten, damit wir Ihnen Ihre Bestellung zusenden können. Aufgrund von Rechnungslegungsvorschriften und anderen gesetzliche Bestimmungen sind wir dazu verpflichtet, E-Commerce-Kaufdaten für einen bestimmten Zeitraum aufzubewahren. Wir sind jedoch dabei, die Handhabung unserer Daten zu optimieren, wobei wir über die DSGVO-Grundsätze hinausgehen und einen Best-in-Class-Ansatz verfolgen:
- Unser Ziel ist es, Ihre persönlichen Daten wie Name, Adresse und Telefonnummer so schnell wie möglich vollständig zu löschen. Wir streben an, diese Daten nur so kurz wie nötig aufzubewahren, um unseren Verpflichtungen gegenüber unseren Kunden (z.B. die Erfüllung Ihrer Bestellung) und allen Rechtsvorschriften (z.B. Rechnungslegungs- und Gesetzesvorschriften) nachzukommen. Dies gilt auch für Drittanbieter. Daten, die aufbewahrt werden müssen, werden in einer anderen, separaten Umgebung gespeichert. Beispielsweise sehen wir vor, Ihre E-Commerce-Bestellinformationen wie Namen, Adressen und Telefonnummern drei Monate nach dem Versand Ihrer Produkte in eine isolierte Umgebung zu verschieben.
- Wir werden die Anzahl der Stellen reduzieren, an denen Ihre personenbezogenen Daten angezeigt werden. Beispielsweise löschen wir die Namen, Adressen und Telefonnummern aus den Bestellbestätigungs-E-Mails, die wir an Sie senden, damit diese Daten nicht über unseren E-Commerce-E-Mail-Anbieter übertragen werden.
- Wir werden ein Benachrichtigungssystem einführen, bei dem proaktiv wichtige sicherheitsbezogene und technische Informationen ausschließlich über Ledger Live übermittelt werden. E-Mail und soziale Medien werden NUR für die Verbreitung von Produktnachrichten und Ankündigungen verwendet.
- Wir werden eine detaillierte Neubewertung aller unserer Lieferanten und Partner durchführen, um sicherzustellen, dass sie weiterhin die höchsten Standards erfüllen.
ZWEITENS müssen Diebstähle und Angriffe wie diese untersucht und strafrechtlich verfolgt werden. Damit sich der Kryptomarkt entwickeln kann, darf der Diebstahl von Kryptowährungen nicht unbestraft bleiben. Wir arbeiten in solchen Fällen weiterhin mit Strafverfolgungsbehörden und privaten Ermittlern zusammen und stocken unsere Ressourcen auf:
- Wir stellen weitere private Ermittler ein, um mit zusätzlicher Erfahrung und unterschiedlichen Ansätzen die Verantwortlichen dieser Datendiebstähle ausfindig zu machen. Wir werden weiterhin mit Strafverfolgungsbehörden weltweit zusammenarbeiten, um die Verantwortlichen zu identifizieren, festzunehmen und strafrechtlich zu verfolgen, wenn immer dies möglich ist.
- Wir setzen eine Belohnung für neue, auf legalem Weg erlangte Informationen aus, die zur Identifizierung, Verhaftung und erfolgreichen Strafverfolgung derjenigen führen, die für Angriffe gegen Ledger und unsere Kunden verantwortlich sind. Ledger stellt 10 BTC in einer Wallet (Adresse: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) als anfängliche Belohnung bereit. Diese wird nach Ermessen von Ledger ausgezahlt, unter Berücksichtigung von Faktoren wie: Wurden die Informationen auf legalem Weg erlangt? Sind sie neu? Wie umfangreich sind die Informationen und inwieweit werden sie zum Fortgang der Ermittlungen beitragen und zu einer direkten strafrechtlichen Verfolgung der schuldigen Personen führen? War diese Strafverfolgung erfolgreich? Generell unterliegt die Auszahlung einer Belohnung den hier verfügbaren Bedingungen unseres Belohnungsprogramms.
- Wir geben unsere Absicht bekannt, bei dieser Initiative mit anderen Akteuren der Branche zusammenzuarbeiten. Wir haben uns bezüglich der Finanzierung des Belohnungsprogramms für Straftaten gegen die Krypto-Community auch an andere Unternehmen und Personen in der Branche gewandt. CEOs anderer Unternehmen der Kryptobranche, die sich uns bei diesem Vorhaben anschließen möchten, rufen wir dazu auf, sich umgehend mit uns in Verbindung zu setzen.
Wir bedauern zutiefst, dass es zu diesen Vorfällen gekommen ist, und entschuldigen uns für jeglichen Schaden oder Stress, den sie unseren Kunden verursacht haben. Sie zu schützen, ist die Mission von Ledger und wir nehmen diese Vorfälle in jeder Hinsicht sehr ernst. Wir werden in Kürze eine technische Lösung bereitstellen, bei der die 24 Wörter nicht mehr der einzige Sicherheitspfeiler unserer Hardware-Wallets sind und durch die sich die Tür für Versicherungslösungen für die Kryptowährungen einzelner Kunden öffnen wird. Diese Angriffe haben unsere Entschlossenheit, Produkte zu entwickeln und anzubieten, die Sie und Ihre Kryptowährungen schützen, nur gestärkt. 2021 werden wir aufregende, innovative und sichere Produkte und Dienste bekanntgeben. Ledger ist weiterhin bestrebt, die sichersten Produkte zu entwickeln und das Krypto-Ökosystem zu schützen. Punkt.
BITTE denken Sie daran, stets wachsam zu sein und alle möglichen Maßnahmen zu ergreifen, um sich zu schützen. Während der Wert Ihrer Kryptowährungen steigt und mehr Menschen dem Ökosystem beitreten, wird das Thema Sicherheit ein Schwerpunkt bleiben. Crypto Casey fasst die Situation hervorragend in diesem Video und diesem Podcast zusammen und zeigt, wie Sie sich schützen können. Bitte ergreifen Sie alle Maßnahmen, um die bestmögliche Sicherheit für Ihre Kryptowährungen sicherzustellen.
Wir sind alle aus demselben Grund hier: Wir glauben seit langem an den Wert und die Zukunft von Kryptowährungen und digitalen Assets. Wir bei Ledger haben wichtige Lehren aus den besagten Vorfällen gezogen und werden weiterhin hart daran arbeiten, dass Sie uns Ihr Vertrauen auch zukünftig schenken. Wir fühlen uns gedemütigt. Und das macht uns stärker und widerstandsfähiger.
Mit freundlichen Grüßen,
Pascal, Ian, Antoine, Matt, Charles.