Mensagem do CEO da LEDGER – Atualização sobre a violação de dados de julho. Apesar do vazamento, seus criptoativos estão seguros.

Caros clientes da Ledger,

Como vocês sabem, a Ledger foi alvo de um ciberataque que resultou em uma violação de dados em julho de 2020. Ontem, fomos informados sobre o vazamento do conteúdo em um banco de dados de clientes da Ledger no Raidforum. Acreditamos que este seja o conteúdo do nosso banco de dados de e-commerce de junho de 2020.

Na época do incidente, em julho, contratamos uma organização de segurança externa para realizar uma análise forense dos registros disponíveis. Essa análise dos registros nos permitiu confirmar que aproximadamente 1 milhão de endereços de e-mail foram roubados, bem como 9.532 informações pessoais mais detalhadas (endereços postais, nome, sobrenome e número de telefone) que pudemos identificar especificamente.

O banco de dados divulgado publicamente ontem mostra que um subconjunto maior de informações detalhadas vazou. Aproximadamente 272.000 informações detalhadas, como endereço postal, sobrenome, nome e número de telefone de nossos clientes. Esses detalhes não estão disponíveis nos registros que pudemos analisar. A transparência em nossas operações e comunicações sempre foi uma prioridade. Isso não mudou.

Além dos rumores e interpretações diversas sobre este evento que foram feitas nas últimas horas, quero dizer algumas coisas simples, mas fundamentais, para esclarecer a realidade desta situação.

Em nome da Ledger, lamentamos profundamente esta situação. Estamos cientes de que muitos de vocês foram alvo de campanhas de phishing por e-mail e SMS e que isso é claramente um incômodo. Eu sei que essa violação é no mínimo decepcionante e, no pior, enfurecedora.

Nosso principal objetivo continua sendo fornecer a vocês a melhor proteção e segurança para seus ativos digitais. Para ser bem claro: essa violação de dados não tem relação nem impacto em nossas carteiras hardware, no aplicativo ou em seus fundos. Seus criptoativos estão seguros. Embora verdadeiramente muito lamentável, essa violação diz respeito apenas a informações relacionadas ao e-commerce.

A Ledger está fazendo tudo ao seu alcance para reforçar ainda mais nossa segurança de dados: nos últimos meses, temos lutado contra golpistas que tentam roubar suas 24 palavras. Isso tem sido amplamente documentado em nosso site e blog. Agora você pode acompanhar o status de campanhas de phishing em andamento em uma única página: Campanhas de phishing em andamento. Também recrutamos talentos de alto nível para nosso novo CISO, que se juntarão a nós em alguns dias. Estamos fortalecendo ainda mais todos os nossos recursos e esforços de segurança: o Programa de Recompensas, o Dungeon e todos os procedimentos que permitirão testar nossos sistemas 24 horas por dia, 7 dias por semana. Todas essas ações foram listadas aqui: O Campo de Batalha contra Tentativas de Phishing.

Alguns de vocês também expressaram preocupação com possíveis ataques físicos, pois alguns de seus endereços de entrega vazaram. Entendemos as preocupações criadas por esta situação, mas é importante reconhecer que não há como fazer qualquer correlação entre os dados que vazaram e os fundos em sua carteira.

Independente disso, a Ledger foi projetada considerando a ameaça de ataques físicos, uma vez que essa é sempre uma ameaça em potencial. Existem recursos e maneiras de se proteger:

• Se você inserir um código PIN incorreto três vezes seguidas, o dispositivo será redefinido após a terceira tentativa incorreta como medida de segurança.
  (Veja: Redefinir para as configurações de fábrica)

• Negação Plausível: em vez de inserir sua passphrase toda vez que você precisar, você pode anexá-la a um segundo PIN em seu dispositivo Ledger. Como resultado, você terá dois códigos PIN válidos: um para desbloquear o conjunto normal de contas, o outro para desbloquear o conjunto alternativo de contas.
  (Veja: Ledger 101 — Parte 4: Princípios de Segurança Avançada)

• Por fim, não guarde sua folha de recuperação em um cofre em sua casa. Um cofre no banco é muito mais seguro. Não ter acesso imediato ao seu backup aumenta sua resiliência a ameaças físicas.
  (Veja: Ledger 101 — Parte 3: Melhores Práticas ao Usar uma Carteira Hardware)

Independentemente dos eventos recentes, se você mantém um alto valor em sua casa, convidamos você a avaliar regularmente seu próprio esquema de segurança e sempre aplicar os melhores padrões do mercado. Você pode encontrar muitas informações relevantes em https://www.ledger.com/academy e https://www.ledger.com/.

Dito isto, a maioria dos ataques que você enfrentará são golpes online tentando roubar suas 24 palavras. É sempre bom lembrar: o mais importante é NUNCA compartilhar suas 24 palavras com NINGUÉM. Nem mesmo com a Ledger. Nós nunca vamos pedi-las a você. Além disso, a Ledger nunca entrará em contato com você por meio de mensagens de texto ou chamadas telefônicas. Muitos perguntaram se seus fundos poderiam ser afetados mesmo se nunca tivessem compartilhado suas 24 palavras. Vou ser bem claro: NÃO. Seus fundos estão seguros.

Para esclarecer e não diminuir nossa responsabilidade, ficou claro que entramos em uma época em que os ciberataques ocorrerão cada vez mais. Eles estiveram em alta em 2020 (As Maiores Violações de Dados e Hacks do Mundo — Information is Beautiful). Este é um problema global crescente que todos nós enfrentamos com a aceleração digital. Investir no futuro da segurança se tornou mais necessário e urgente do que nunca. Essa é precisamente a missão da Ledger: investimos continuamente para melhorar os padrões de segurança. É também por isso que não reembolsaremos clientes como alguns sugeriram. Em vez disso, a melhor e mais sincera coisa que podemos oferecer é nossa dedicação a nos tornar melhores e investir em atualizar continuamente a segurança dos produtos que disponibilizamos a vocês.

Precisamos de vocês ao nosso lado nesta luta para #StopTheScammers (“parar os golpistas”), com o espírito que sempre foi nosso e das comunidades cripto.

Forneceremos as atualizações necessárias conforme nossa análise continua para dar total transparência à nossa comunidade sobre os desenvolvimentos deste assunto em https://www.ledger.com/phishing-campaigns-status.

Se você tiver mais alguma dúvida, consulte primeiro as Perguntas frequentes. Se não encontrar a resposta lá, entre em contato conosco através do suporte ao cliente.

Atenciosamente,
Pascal Gauthier
CEO, Ledger