Новости: усилия по защите ваших данных и преследованию мошенников
Безопасность продуктов Ledger не имеет аналогов и остаётся бескомпромиссной. Продукты Ledger Nano являются единственными аппаратными кошельками на рынке, прошедшими независимую сертификацию. Но, несмотря на это, преступники атакуют клиентов Ledger с помощью фишинга и других изощрённых методов. Недавно компания Shopify обнаружила, что клиенты Ledger пострадали от утечки данных Shopify. Компания сообщила об этом здесь и уведомила Ledger.
<TL;DR>
Целеустремлённые злоумышленники всегда будут пытаться получить доступ к данным Ledger различными способами. Наша же задача — продолжать укреплять систему безопасности. Это проблема всей отрасли, с которой нужно бороться вместе. И Ledger удваивает своё обязательство вносить вклад в эту борьбу.
В этом посте мы расскажем нашим пользователям о том, какие меры предпринимаем для усиления безопасности. Также вы узнаете, как идёт расследование по делу об утечке данных в 2020 году.
- Мы анонсируем изменения в том, как Ledger будет работать с данными клиентов. Наша цель — как можно скорее полностью удалить ваши личные данные, такие как имя, адрес и номер телефона. Мы ставим перед собой и сторонними поставщиками задачу хранить эти данные в течение максимально короткого периода времени. Но времени должно хватить для выполнения наших обязательств перед клиентами (например, выполнения вашего заказа) и законом (например, бухгалтерских и юридических обязательств). Данные, которые необходимо сохранить, будут помещены в отдельную изолированную среду.
- Мы внедрим модель обмена сообщениями, при которой важная информация о безопасности и технических вопросах будет передаваться через Ledger Live. Электронная почта и социальные сети будут использоваться ТОЛЬКО для рассылки сообщений и объявлений о продукции.
- Ledger выделяет многочисленные дополнительные средства для выявления и судебного преследования лиц, ответственных за атаки на Ledger и клиентов Ledger. Сюда входит баунти-фонд в размере 10 BTC. Выплаты предусмотрены за информацию, которая поможет арестовать и привлечь их к ответственности злоумышленников. Мы надеемся, что другие компании присоединятся к баунти-программе и помогут сделать криптосообщество безопаснее.
Напоминание о безопасности: НИКОГДА и НИКОМУ не сообщайте свою фразу из 24 слов. Ledger НИКОГДА не попросит вас раскрыть свою фразу восстановления из 24 слов. Если кто-то выдаёт себя за сотрудника Ledger и просит сообщить фразу восстановления, – это преступник. 24 слова из вашей фразы восстановления должны вводиться только в Ledger Nano. В LEDGER LIVE — НИКОГДА.
<TL;DR>
В этом посте мы максимально прозрачно расскажем о событиях, связанных с утечкой данных. Вся команда Ledger прилагает огромные усилия для решения этих проблем. Мы хотим дать вам как можно больше информации о том, в каком направлении движется Ledger, чтобы обеспечить безопасность ваших данных, поймать и привлечь к ответственности преступников, совершающих эти преступления. Поэтому пост получился длинным.
1. Что случилось
Сначала кратко напомним ситуацию. 14 июля 2020 года через нашу баунти-программу с нами связался исследователь безопасности. Он сообщил об утечке базы данных нашего интернет-магазина и отдела маркетинга. Представители Ledger немедленно устранили проблему и занялись внутренним расследованием ситуации. Мы обнаружили, что злоумышленник получил несанкционированный доступ к базе данных нашего интернет-магазина и отдела маркетинга через сторонний API-ключ. Ledger совместно со сторонней криминалистической компанией Orange Cyberdefense провели судебную экспертизу. Удалось установить, что было похищено более миллиона Email-адресов и около 9 500 записей о клиентах. Среди них — имена, адреса, заказанные товары и номера телефонов. Мы немедленно (29 июля 2020 года) уведомили клиентов, и передали данные для экспертного анализа соответствующим органам.
20 декабря 2020 года всё содержимое украденных баз данных было размещено на форуме в открытом доступе. В полных базах данных мы увидели, что в дополнение к более чем 1 млн Email-адресов было украдено около 272 000 записей о клиентах. Это были имена, адреса и номера телефонов. Как только это было обнаружено, мы оповестили пострадавших клиентов посредством Email-рассылки (21 декабря 2020 года).
Теперь у нас появилась новая информация. 23 декабря 2020 года мы получили уведомление от поставщика услуг электронной коммерции Shopify. В нём сообщалось об инциденте с данными продавцов. В ходе него недобросовестный(ые) член(ы) их службы поддержки получил(и) записи о транзакциях клиентов, включая данные Ledger. Агент(ы) незаконно экспортировал(и) записи транзакций клиентов в апреле и июне 2020 года. По словам Shopify, это связано с инцидентом, о котором сообщалось в сентябре 2020 года и который касается более 200 продавцов. Однако до 21 декабря 2020 года в Shopify не знали, что компания Ledger также стала жертвой этой атаки. Представители Shopify сообщили нам, что привлекли экспертов по цифровой криминалистике и адвоката для продолжения расследования. Также они уведомили об этом правоохранительные органы Канады и США.
Вместе с компанией Orange Cyberdefense мы смогли установить, что эта проблема затронула примерно 292 000 клиентов. Хотя база данных на 93% схожа с той, что была раскрыта при предыдущей атаке, в ходе этой утечки было обнаружено около 20 000 новых записей о клиентах. Они включают в себя Email-адреса, имя, почтовый адрес, заказанные продукты и номер телефона.
Если вы приобретали продукцию Ledger позже конца июня 2020 года или если вы приобретали её не на Ledger.com, ваши данные не были раскрыты в этих инцидентах.
Ответы на часто задаваемые вопросы по обеим атакам можно найти в разделе ЧаВо. Чтобы узнать о видах фишинговых атак или сообщить о фишинговой атаке нашей команде, посетите эту страницу.
Несмотря на эти атаки, аппаратные кошельки Ledger остаются неуязвимыми, а ваша криптовалюта защищённой при одном условии. ЕСЛИ ВЫ НИКОГДА И НИКОМУ НЕ СООБЩАЕТЕ СВОЮ ФРАЗУ ИЗ 24 СЛОВ. Особенно тем, кто выдаёт себя за Ledger. Ledger никогда не запрашивает эту информацию.
2. Какие действия мы предприняли
Касательно утечки данных, обнаруженной 14 июля
Мы устранили ошибку 14 июля 2020 года. 17 июля 2020 года мы уведомили об этом французскую организацию по защите информации. Мы начали проводить судебную экспертизу совместно с Orange Cyberdefense 20 июля 2020 года. Было необходимо и разумно завершить расследование с Orange Cyberdefense и собрать как можно больше фактов, прежде чем сообщать о нарушении данных нашим клиентам.
Окончательный отчёт мы получили 29 июля 2020 года и сразу же разослали письма всей нашей базе данных.В тот же день мы проинформировали СМИ о ситуации через пресс-релиз. 5 августа 2020 года мы подали жалобу в прокуратуру Франции.
О фишинговых кампаниях против наших клиентов
В последние месяцы мы фиксируем множество фишинговых атак на наших клиентов. Мы активно предупреждали об этих атаках по электронной почте, на нашем сайте, в Ledger Live, а также в Twitter, Reddit и на сторонних платформах. 22 октября 2020 года мы разослали письма о попытках фишинга всей нашей базе пользователей. Чтобы выявить автора(ов) фишинговых сайтов, мы начали сотрудничать с компанией Webdrone. Она специализируется на бизнес-аналитике и борьбе с киберпреступностью. У нас есть постоянная программа с Corsearch по оперативному закрытию фишинговых сайтов через регистраторов. На сегодняшний день закрыто более 216 сайтов.
Наша внутренняя команда по защите бренда занималась исключительно фишинговыми атаками с момента их начала. Corsearch от нашего имени работает с международными расследовательскими организациями. 16 декабря 2020 года мы создали специальную страницу с описанием анатомии этих фишинговых атак. Это поможет вам выявлять их и сообщать о любых новых атаках.
Мы работаем с Chainalysis и другими организациями над отслеживанием криптовалютных кошельков, которые используют мошенники. Если/когда они будут обнаружены, мы сообщим о них в правоохранительные органы для принятия мер. Например, для замораживания криптоактивов, если они попадут на биржи.
Мы продолжаем работать с несколькими частными детективами с целью поиска и отслеживания ответственных за эти атаки. Все улики и собранная информация передаются соответствующим органам. Если у вас есть для нас новая информация, ознакомьтесь с баунти-программой ниже. Компания Ledger также подала в прокуратуру Франции жалобу по поводу фишинговых кампаний. Собранная Ledger и следователями информация регулярно обнародуется.
В связи с этими инцидентами, количество запросов на получение информации в Ledger значительно увеличилось по сравнению с прошлым годом. Мы ценим каждое обращение от клиентов и стремимся ответить на все запросы точной информацией. Чтобы удовлетворить этот спрос, мы наняли больше сотрудников в 2020 году и продолжаем нанимать в 2021. Нам искренне жаль, если у вас возникли задержки с нашей службой поддержки. Мы прилагаем все усилия, чтобы ответить вам как можно скорее. Мы надеемся, что этот пост и ЧаВо помогут вам быстро найти ответы на все интересующие вас вопросы.
Об утечке данных Shopify
Расследование инцидента с Shopify продолжается. Мы продолжим информировать вас по мере развития событий. На сегодняшний день: мы уведомили французскую организацию по защите информации 26 декабря 2020 года. После завершения судебной экспертизы с Orange Cyberdefense мы проинформировали всех пострадавших от этой утечки клиентов по электронной почте 13 января 2021 года. Мы продолжаем работать над этим делом с Shopify и прокурорами. Уже ведётся расследование, которое возглавляют ФБР и КККП. Ledger также сообщила о случившемся в Государственную прокуратуру Франции и подала жалобу на недобросовестного(ых) агента(ов). Мы продолжаем работать с Shopify и используем новые внутренние процессы для обеспечения повышенной безопасности.
3. Дальнейшие шаги
Утечки данных и фишинговые атаки являются проблемой всей отрасли. Мы продолжаем работать над этой проблемой каждый день. И сегодня мы хотим рассказать вам о запуске нашего нового плана, направленного на повышение уровня защиты наших клиентов.
Во-первых, мы бы предпочли вообще не получать ваших данных. Ваше доверие для нас гораздо ценнее, чем хранение ваших данных. Когда вы заказываете товар непосредственно в компании Ledger, мы собираем вашу информацию для доставки заказа. Правила бухгалтерского учёта и юридические обязательства требуют, чтобы мы хранили данные о покупках в интернет-магазине в течение определённого периода времени. Тем не менее, мы меняем способ обработки этих данных, чтобы выйти за рамки принципов GDPR (General Data Protection Regulation или Общий регламент по защите данных) и использовать лучший в своём классе подход.
- Наша цель — как можно скорее полностью удалить ваши личные данные, такие как имя, адрес и номер телефона. Мы ставим перед собой и сторонними поставщиками задачу хранить эти данные в течение максимально короткого периода времени. Но времени должно хватить для выполнения наших обязательств перед клиентами (например, выполнения вашего заказа) и законом (например, бухгалтерских и юридических обязательств). Данные, которые необходимо сохранить, будут помещены в отдельную изолированную среду. Например, мы стремимся поместить информацию о вашем заказе в изолированную среду через три месяца после доставки товара. Сюда входит имя, адрес, номер телефона.
- Мы сократим количество мест, в которых отображается ваша личная информация. Например, мы удалим имя, адрес и номер телефона из электронных писем с подтверждением заказа, которые вам отправляем. Таким образом, эти данные не будут проходить через нашего Email-провайдера для интернет-магазина.
- Мы внедрим модель обмена сообщениями, при которой важная информация о безопасности и технических вопросах будет передаваться исключительно через Ledger Live. Электронная почта и социальные сети будут использоваться ТОЛЬКО для рассылки сообщений и объявлений о продукции.
- Мы проведём детальную переоценку всех наших поставщиков и партнеров, чтобы убедиться, что они продолжают соответствовать самым высоким стандартам.
Во-вторых, подобные кражи и атаки не могут оставаться без расследования или судебного разбирательства. Чтобы криптовалюта процветала, должна существовать цена за её кражу. Мы продолжаем работать над этими делами с правоохранительными органами и частными детективами. И наши силы растут:
- Мы нанимаем дополнительный штат частных детективов. Это позволит добавить опыт и различные подходы к поиску ответственных за эти хищения данных. Мы продолжим сотрудничать с правоохранительными органами по всему миру, чтобы найти, арестовать и привлечь к ответственности виновных. Где бы ни произошло преступление.
- Мы создаём баунти-программу для выплат за новую информацию, полученную законным путём. Эта информация должна помочь идентифицировать, арестовать и успешно завершить судебное преследование лиц, ответственных за атаки на Ledger и наших клиентов. Компания Ledger открыла кошелёк с 10 BTC (адрес: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) как начальный резерв для баунти-вознаграждений. Эти средства будут распределяться по усмотрению Ledger. При этом учитываются следующие факторы: Была ли информация получена законным путём? Является ли она новой? Насколько существенна информация и насколько она поможет продвижению расследования? Приведёт ли она к непосредственной возможности привлечения лица (лиц) к ответственности? Было ли соответствующее судебное преследование успешным? В целом, будут действовать условия нашей программы баунти, с которыми можно ознакомиться здесь.
- Мы готовы сотрудничать с другими представителями отрасли в рамках этой инициативы. Мы приглашаем другие компании и частных лиц из этой сферы к участию в финансировании баунти-программы для борьбы с преступлениями против криптосообщества. Гендиректоры других компаний в криптопространстве, если вы хотите присоединиться к нам в этом проекте, пожалуйста, как можно скорее свяжитесь с нами.
Мы глубоко сожалеем, что эти инциденты имели место. Также, мы сожалеем о боли и стрессе, которые они причинили нашим клиентам. Обеспечение вашей безопасности — это миссия компании Ledger. Мы очень серьёзно относимся к подобным инцидентам как в личном, так и в профессиональном плане. В ближайшее время мы выпустим новое техническое решение. Фраза из 24 слов перестанет быть единственной опорой безопасности наших аппаратных кошельков. Также появится возможность страхования средств для индивидуальных клиентов. Эти атаки только укрепили нашу решимость. Мы будем создавать и выпускать продукты, которые обеспечат безопасность вам и вашим криптовалютам. В 2021 году мы объявим о выпуске интересных, инновационных и безопасных продуктов и услуг. Ledger по-прежнему стремится создавать самые безопасные продукты и защищать криптовалютную экосистему. Точка.
Пожалуйста, воспринимайте это как напоминание. Необходимо быть бдительными и предпринимать все возможные шаги для своей безопасности. С ростом стоимости вашей криптовалюты и присоединением к экосистеме всё большего числа пользователей этот вопрос будет оставаться в центре внимания. В этом видео и подкасте Crypto Casey отлично описывается сложившаяся ситуация, и говорится о том, как себя защитить. Пожалуйста, примите все меры, чтобы обезопасить себя и свою криптовалюту.
Все мы здесь по одной и той же причине. Мы давно верим в ценность и будущее криптовалют и цифровых активов. Мы в Ledger извлекли очень важные уроки и будем продолжать упорно работать над тем, чтобы ваше доверие к нам было оправдано. Мы смирились с произошедшим. И это сделало нас сильнее и устойчивее.
С уважением,
Паскаль, Ян, Антуан, Мэтт, Шарль.