Sobre la filtración de datos de datos de comercio electrónico y marketing de julio de 2020: mensaje de la dirección de Ledger
Qué ocurrió
El 14 de julio de 2020, un investigador participante de nuestro programa de recompensas nos informó de una posible filtración de datos en el sitio web de Ledger. Tras recibir la información del investigador, corregimos la filtración de forma inmediata y pusimos en marcha una investigación interna. Una semana después de corregir la filtración, descubrimos que había sido aprovechada el 25 de junio de 2020 por parte de un tercero, que accedió a nuestra base de datos de comercio electrónico y marketing, la cual usamos para enviar correos electrónicos de confirmación de pedidos y promocionales. Esta base de datos contenía principalmente direcciones de correo electrónico, pero uno de sus subconjuntos también contenía datos de contacto y de pedidos, como nombres y apellidos, direcciones postales, direcciones de correo electrónico y números de teléfono. Tu información de pago y tus fondos cripto están seguros.
Para ser totalmente transparentes, queremos explicar lo que ocurrió. Un tercero no autorizado obtuvo acceso a una parte de nuestra base de datos de comercio electrónico y marketing mediante una clave de la API. La clave de la API se ha desactivado y ya no puede accederse a ella.
¿Qué información personal se vio afectada?
Se vieron afectados los datos de contacto y de pedidos. Principalmente las direcciones de correo electrónico de nuestros clientes, aproximadamente un millón de direcciones. Además de investigar la situación, hemos podido constatar que también se vieron expuestos los datos de un subconjunto de 9.500 clientes, como nombres y apellidos, direcciones postales, números de teléfono o productos pedidos. Debido al alcance de la filtración y nuestro compromiso con nuestros clientes, hemos decidido informar a todos nuestros clientes de la situación.
Estos 9.500 clientes cuya información personal detallada se ha visto expuesta recibirán hoy un correo electrónico con más información.
En lo que respecta a los datos de comercio electrónico, ni las credenciales (contraseñas) ni los datos de pago se han visto afectados por esta filtración de datos. Solamente ha afectado a los datos de contacto de nuestros clientes.
Esta filtración de datos no tiene relación ni efecto alguno sobre nuestras billeteras de hardware ni sobre la seguridad de Ledger Live. Tus activos cripto están a buen recaudo y nunca han estado en peligro. Tú eres la única persona que tiene el control y puede acceder a esta información.
Qué hemos hecho y qué vamos a hacer
Como el problema estuvo limitado a información de contacto de comercio electrónico y marketing y hemos podido corregirlo de manera inmediata, antes de avisar a nuestra comunidad decidimos realizar una investigación interna detallada con expertos externos.
El 17 de julio de se lo notificamos a la CNIL, la autoridad de protección de datos de Francia, que garantiza que se aplique la legislación de privacidad a la recopilación, el almacenamiento y el uso de los datos personales. El 21 de julio nos asociamos con Orange Cyberdefense para evaluar los posibles daños de la filtración de datos e identificar posibles filtraciones de datos.
Tras una concienzuda investigación realizada por nuestro equipo de seguridad y Orange Cyberdefense, llegamos a la conclusión de que la base de datos de comercio electrónico y marketing se había visto afectada por una filtración. A fecha de publicación de este artículo, todos los clientes afectados habrán recibido un correo electrónico con esta información.
Estamos monitoreando de forma activa si existen pruebas de la venta de la base de datos en Internet, pero hasta ahora no hemos tenido constancia de ello. Además, hemos realizado una prueba de penetración interna y vamos a adelantar la prueba de penetración externa que estaba prevista inicialmente para septiembre.
Estamos ampliando el alcance de nuestro programa de seguridad y organización para incluir el comercio electrónico, ya que inicialmente se centraba solo en nuestros productos (Hardware y Vault). Estamos adoptando medidas para cumplir los requisitos recogidos por la norma ISO 27001.
Hemos presentado una denuncia formal ante las autoridades competentes para que se investigue a fondo la situación.
Para maximizar la privacidad de nuestros clientes, Ledger Live, la aplicación complementaria de tu Nano, que no conserva ninguna información sobre nuestros clientes, pasará a ser el punto principal de contacto para informar sobre el desarrollo de nuevos productos, así como nuestras cuentas en las redes sociales Twitter, Facebook y LinkedIn.
Para leer nuestra Política de Privacidad y saber qué hacemos con tus datos, haz clic aquí.
Qué puedes hacer
Te recomendamos que actúes con precaución y que seas consciente de los intentos de suplantación de identidad por parte de estafadores malintencionados. Para explicarlo de la manera más sencilla: Ledger nunca te pedirá las 24 Palabras de tu Frase de recuperación. Si recibes una comunicación que parece que proviene de Ledger en la que te piden tus 24 Palabras, deberás considerarla sin duda alguna un intento de suplantación de identidad.
Además, aunque hacemos todo lo posible, te recomendamos que consultes la sección de seguridad de Ledger Academy para obtener información sobre los principios generales de seguridad y en concreto nuestro artículo sobre los ataques de suplantación de identidad.
Lamentamos enormemente este incidente. Nos tomamos muy en serio la privacidad; descubrimos este problema gracias a nuestro Programa Bug Bounty para encontrar vulnerabilidades y lo corregimos inmediatamente. Pero, independientemente de todo lo que se hizo para evitar y corregir esta situación, te pedimos sinceras disculpas por las molestias provocadas por este incidente.
Si tienes alguna pregunta, puedes leer nuestras Preguntas más frecuentes y, si necesitas más información, puedes ponerte en contacto directamente con nuestro equipo de atención al cliente.
Para leer nuestra Política de Privacidad y saber qué hacemos con tus datos, haz clic aquí.