Atualização: Esforços para Proteger Seus Dados e Processar os Golpistas
Embora a segurança dos produtos Ledger seja incomparável (os produtos Ledger Nano são as únicas carteiras hardware certificadas de forma independente no mercado) e permaneça incorruptível, os criminosos estão atacando os clientes da Ledger com tentativas de phishing usando diferentes tipos de ataque. Recentemente, a Shopify descobriu que os clientes da Ledger foram afetados pelo roubo de dados da Shopify, divulgado pela Shopify aqui, e notificou a Ledger.
<TL;DR>
Adversários empenhados sempre tentarão diferentes ângulos para acessar os dados da Ledger e devemos continuar fortalecendo nossa postura de segurança. Este é um problema de toda a indústria que precisamos combater juntos, e nós da Ledger estamos dobrando nosso compromisso de fazer nossa parte nessa luta.
Nesta postagem de blog, estamos atualizando nossos usuários sobre ações em andamento para fortalecer nossas práticas de segurança e buscar justiça em relação ao roubo de nossos dados em 2020.
- Estamos anunciando mudanças na maneira como a Ledger lidará com os dados dos clientes. Nosso objetivo é excluir completamente seus dados pessoais, como nome, endereço e número de telefone, o mais rápido possível. Estamos desafiando a nós mesmos e nossos provedores terceirizados a manter esses dados pelo menor tempo necessário para cumprir nossas obrigações com nossos clientes (como atender seus pedidos) e com a lei (como obrigações contábeis e legais). Os dados que precisam ser mantidos serão colocados em um ambiente ainda mais segregado.
- Implementaremos um modelo de mensagens onde informações técnicas e de segurança importantes serão transmitidas por meio do Ledger Live. E-mails e redes sociais serão usados SOMENTE para transmitir mensagens e anúncios relacionados a produtos.
- A Ledger está empregando vários recursos adicionais para identificar e processar legalmente os responsáveis pelos ataques à Ledger e aos clientes da Ledger, incluindo um fundo de recompensa de 10 BTC por informações que levem à captura e a acusação bem-sucedidos. Esperamos que outras empresas participem do programa de recompensas e ajudem a tornar a comunidade cripto um lugar mais seguro.
Lembrete de segurança: NUNCA forneça suas 24 palavras a NINGUÉM. A Ledger NUNCA solicitará suas 24 palavras. Se alguém se passando pela Ledger solicitar suas 24 palavras, esta pessoa é uma criminosa, não a Ledger. O ÚNICO lugar onde você deve inserir as 24 palavras de sua frase de recuperação é em sua Ledger Nano – NUNCA NO LEDGER LIVE.
<TL;DR>
Neste post, vamos recapitular os eventos relacionados à violação de nossos dados da maneira mais transparente possível. Toda a equipe da Ledger está trabalhando arduamente para resolver esses desafios. Este post é longo, mas queremos fornecer o máximo de informações possível sobre a direção que a Ledger está tomando para manter seus dados seguros e capturar e processar legalmente os criminosos que perpetram esses crimes.
1- O que aconteceu
Primeiro, para recapitular brevemente a situação, em 14 de julho de 2020, um pesquisador entrou em contato conosco por meio do nosso programa de recompensas para nos informar sobre uma violação de dados em nosso banco de dados de e-commerce e marketing. Corrigimos imediatamente a violação dos dados e iniciamos investigações internas. Descobrimos que um invasor malicioso obteve acesso não autorizado ao nosso banco de dados de e-commerce e marketing por meio de uma chave de API de terceiros. Por meio de análises forenses conduzidas pela Ledger e pela empresa forense terceirizada Orange Cyberdefense, conseguimos identificar que mais de um milhão de endereços de e-mail e aproximadamente 9.500 registros de clientes, incluindo nome, endereço, produtos comprados e número de telefone, também foram roubados. Imediatamente (em 29 de julho de 2020) notificamos nossos clientes e compartilhamos as informações forenses com as autoridades relevantes.
Em 20 de dezembro de 2020, o conteúdo completo dos bancos de dados roubados foi disponibilizado publicamente em um fórum. Assim que vimos esses bancos de dados completos, pudemos ver que aproximadamente 272.000 registros de clientes, incluindo nome, endereço e número de telefone, foram roubados, além dos mais de 1 milhão de endereços de e-mail. Assim que descobrimos isso, alertamos por e-mail os clientes afetados (21 de dezembro de 2020).
Agora, temos novas informações para compartilhar: em 23 de dezembro de 2020, recebemos uma notificação de nosso provedor de serviços de e-commerce, a Shopify, sobre um incidente envolvendo dados de comerciantes no qual membros não autorizados de sua equipe de suporte obtiveram registros de transações de clientes, incluindo da Ledger. Os agentes exportaram ilegalmente os registros de transações de clientes em abril e junho de 2020. De acordo com a Shopify, isto está relacionado ao incidente relatado em setembro de 2020, que envolve mais de 200 comerciantes, mas até 21 de dezembro de 2020, a Shopify não havia descoberto que a Ledger também foi alvo desse ataque. A Shopify nos disse que eles contrataram consultores e especialistas em investigação digital para continuar sua investigação sobre o caso e relataram o assunto às autoridades policiais do Canadá e dos EUA.
Junto com a empresa forense Orange Cyberdefense, pudemos determinar que o incidente afetou aproximadamente 292.000 clientes. Embora o banco de dados seja 93% similar ao exposto no ataque anterior, havia aproximadamente 20.000 novos registros de clientes, incluindo e-mail, nome, endereço postal, productos comprados e número de telefone, incluídos nesta violação.
Se você comprou um produto Ledger após o final de junho de 2020 ou se você comprou seu produto fora da Ledger.com, seus dados não foram expostos nesses incidentes.
Para obter respostas às perguntas frequentes sobre ambos os ataques, visite as Perguntas Frequentes. Para se informar sobre os tipos de ataques de phishing perpetrados ou para denunciar um ataque de phishing à nossa equipe, consulte esta página.
Durante esses ataques, as carteiras hardware Ledger permanecem incorruptíveis e suas criptomoedas seguras DESDE QUE VOCÊ NUNCA COMPARTILHE SUAS 24 PALAVRAS COM NINGUÉM (especialmente alguém que finge ser a Ledger – a Ledger nunca solicitará essas informações).
2 – Ações tomadas pela Ledger
Sobre a violação de dados descoberta em 14 de julho
Corrigimos a violação de 14 de julho de 2020. Em 17 de julho de 2020, notificamos a autoridade francesa de proteção de dados. Começamos a realizar análises forenses com a Orange Cyberdefense em 20 de julho de 2020. Foi necessário e prudente concluir a investigação com a Orange Cyberdefense e reunir o maior número possível de fatos antes de comunicar a violação de dados aos nossos clientes.
Assim que obtivemos o relatório final, enviamos um e-mail para todo o nosso banco de dados de e-mail em 29 de julho de 2020. Informamos a mídia sobre a situação por meio de um comunicado de imprensa no mesmo dia. Apresentamos uma queixa ao Ministério Público francês em 5 de agosto de 2020.
Sobre as campanhas de phishing contra nossos clientes
Nos últimos meses, vimos uma alta atividade de ataques de phishing contra nossos clientes. Nos comunicamos ativamente para alertar nossos clientes sobre esses ataques por e-mail, em nosso site, no Ledger Live e no Twitter, Reddit e em outras plataformas de terceiros. Enviamos um e-mail para todo o nosso banco de dados sobre essas tentativas de phishing em 22 de outubro de 2020. Fizemos uma parceria com a Webdrone, empresa especializada em business intelligence e crimes cibernéticos, para identificar os autores de sites de phishing. Temos um programa em andamento com a Corsearch para derrubar sites de phishing rapidamente por meio de registradores e, até o momento, derrubamos 216 sites e ainda estamos contando.
Nossa equipe interna de proteção da marca tem se dedicado exclusivamente aos ataques de phishing desde o início. A Corsearch está colaborando em nosso nome com organizações internacionais de investigação. Em 16 de dezembro de 2020, lançamos uma página específica que compartilha a anatomia desses ataques de phishing para ajudar você a identificá-los e relatar quaisquer novos ataques recebidos.
Estamos trabalhando com a Chainalysis e outras organizações para rastrear as carteiras de criptomoedas usadas pelos golpistas. Se e quando forem descobertos, iremos denunciá-los às autoridades para que ações sejam tomadas (por exemplo, para congelar os criptoativos caso eles cheguem às corretoras).
Continuamos trabalhando com vários investigadores particulares para encontrar e rastrear os indivíduos responsáveis por esses ataques. Todas as pistas e informações coletadas são compartilhadas com as autoridades relevantes (se você tiver novas informações para nós, consulte o programa de recompensas abaixo). Para as campanhas de phishing, a Ledger também apresentou uma queixa à promotoria francesa e compartilha informações coletadas pela Ledger e pelos investigadores regularmente.
Devido a esses incidentes, a Ledger teve um aumento exponencial nas solicitações de informações em comparação com o mesmo período do ano passado. Cada comunicação com nossos clientes é importante para nós e queremos responder a cada uma delas com informações precisas. Para atender a essa demanda, contratamos mais recursos em 2020 e continuamos contratando em 2021. Lamentamos sinceramente se você está enfrentando atrasos com nosso suporte ao cliente e estamos trabalhando duro para responder a todos o mais rápido possível. Esperamos que este blog post e as Perguntas Frequentes ajudem você a encontrar imediatamente as respostas que procura.
Sobre a violação de dados da Shopify
A investigação sobre o incidente envolvendo a Shopify está em andamento e continuaremos a atualizar você à medida que a situação se desenvolver. Atualmente, notificamos a autoridade francesa de proteção de dados em 26 de dezembro de 2020. Após concluir a análise forense com a Orange Cyberdefense, informamos por e-mail todos os clientes afetados por essa violação em 13 de janeiro de 2021. Continuamos trabalhando com o Shopify e promotores no caso. Uma investigação já está em andamento, liderada pelo FBI e a RCMP. Ledger também relatou os eventos ao Ministério Público francês e apresentou uma queixa contra os agentes maliciosos. Continuamos trabalhando com o Shopify usando novos processos internos para garantir maior segurança.
3 – Próximos passos
Violações de dados e ataques de phishing são um problema de toda a indústria. Continuamos trabalhando nesse problema todos os dias e hoje queremos compartilhar com você o início de nosso novo plano que visa aumentar a proteção de nossos clientes.
EM PRIMEIRO LUGAR, preferimos não ter seus dados, sua confiança vale muito mais para nós do que manter seus dados. Quando você compra um produto diretamente da Ledger, coletamos suas informações para que possamos enviar seu pedido. Os regulamentos contábeis e as obrigações legais exigem que mantenhamos os dados de compra de e-commerce por um determinado tempo. Ainda assim, estamos mudando a maneira como lidamos com esses dados, para ir além dos princípios do LGPD e adotar a melhor abordagem da categoria.
- Nosso objetivo é excluir completamente seus dados pessoais, como nome, endereço e número de telefone, o mais rápido possível. Estamos desafiando a nós mesmos e nossos provedores terceirizados a manter esses dados pelo menor tempo necessário para cumprir nossas obrigações com nossos clientes (como atender seus pedidos) e com a lei (como obrigações contábeis e legais). Os dados que precisam ser mantidos serão colocados em um ambiente ainda mais segregado. Por exemplo, nosso objetivo é colocar as informações da sua compra de e-commerce (como nome, endereço e número de telefone) em um ambiente segregado três meses após o envio do seu produto.
- Reduziremos os locais em que suas informações pessoais são exibidas. Por exemplo, excluiremos o nome, endereço e número de telefone dos e-mails de confirmação de pedido que enviamos aos nossos clientes para que esses dados não passem pelo nosso provedor de e-mail de e-commerce.
- Implementaremos um modelo de mensagens onde informações técnicas e de segurança importantes serão transmitidas exclusivamente por meio da Ledger Live. E-mails e redes sociais serão usados SOMENTE para transmitir mensagens e anúncios relacionados a produtos.
- Faremos uma reavaliação detalhada de todos os nossos fornecedores e parceiros para garantir que eles continuem atendendo aos mais altos padrões.
EM SEGUNDO LUGAR, roubos e ataques como este não podem deixar de ser investigados e processados legalmente. Para que as criptomoedas prosperem, deve haver um preço a pagar por cometer roubos de criptomoedas. Continuamos trabalhando nesses casos com as autoridades policiais e com investigadores privados e estamos adicionando mais poder de fogo.
- Estamos contratando mais capacidade de investigação privada e agregando experiência e abordagens para encontrar os responsáveis por esses roubos de dados. Continuaremos trabalhando em conjunto com as autoridades globais para encontrar, capturar e processar legalmente os responsáveis sempre que possível.
- Estamos criando recompensas para novas informações, obtidas legalmente, que levam à identificação, captura e persecução bem-sucedida daqueles responsáveis por ataques contra a Ledger e nossos clientes. Ledger semeou uma carteira com 10 BTC (endereço: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) como reserva de recompensa inicial. Essa quantia será desembolsada a critério da Ledger considerando fatores como: as informações foram obtidas legalmente? Elas são novas? Quão substanciais são as informações e até que ponto elas ajudarão a progredir a investigação e resultarão em uma capacidade direta de processar indivíduos? Essa acusação foi bem-sucedida? De forma mais geral, elas estarão sujeitas aos termos do nosso programa de recompensas disponível aqui.
- Estamos anunciando nossa intenção de colaborar com outros do setor nesta iniciativa. Estamos entrando em contato com outras empresas e indivíduos na área a respeito do financiamento contínuo deste programa de recompensas sobre crimes cometidos contra a comunidade cripto. CEOs de outras empresas da área de cripto que quiserem se juntar a nós neste projeto, entrem em contato conosco o mais rápido possível.
Lamentamos profundamente que esses incidentes tenham ocorrido e por qualquer dor ou estresse que eles tenham causado aos nossos clientes. Manter você seguro é a missão da Ledger e levamos esses incidentes extremamente a sério, tanto pessoal quanto profissionalmente. Em breve, lançaremos uma solução técnica que removerá as 24 palavras como o único pilar de segurança de nossas carteiras hardware e abrirá as portas para fundos de seguro para clientes individuais. Esses ataques apenas fortaleceram nossa determinação de criar e lançar produtos que mantenham você e suas criptomoedas seguras. Temos produtos e serviços empolgantes, inovadores e seguros para anunciar em 2021. A Ledger continua comprometida em construir os produtos mais seguros e proteger o ecossistema cripto. Ponto final.
CONSIDERE este momento como um lembrete para permanecer vigilante e tomar todas as medidas possíveis para se proteger. À medida que o valor de seu cripto aumenta e mais pessoas se juntam ao ecossistema, essa continuará sendo uma área de foco. A Crypto Casey faz um ótimo trabalho resumindo a situação e como se proteger nestes vídeo e podcast. Tome todas as medidas para manter você e suas criptos seguros.
Estamos todos aqui pelo mesmo motivo, acreditamos há muito tempo no valor e no futuro das criptomoedas e dos ativos digitais. Nós da Ledger aprendemos lições muito importantes e continuaremos trabalhando duro para garantir que sua confiança seja bem depositada em nós. Estamos constrangidos. Como resultado, estamos nos tornando mais fortes e resilientes.
Atenciosamente,
Pascal, Ian, Antoine, Matt, Charles.