Güncelleme: Verilerinizi Koruma ve Dolandırıcıları Yargılama Çabaları
Benzersiz güvenlik özelliklerine sahip Ledger ürünleri (Ledger Nano ürünleri piyasadaki bağımsız kuruluşlarca sertifikalandırılmış tek donanım cüzdanlarıdır), halen güvenlik açığı vermemiş olsalar da suçlular farklı saldırı türleri kullanarak oltama girişimleriyle Ledger müşterilerine saldırıyor. Kısa süre önce Shopify, burada açıklandığı üzere Ledger müşterilerinin Shopify veri hırsızlığından etkilendiğini keşfederek Ledger’ı bilgilendirdi.
<Özet>
Kararlı ve kötü niyetli taraflar, Ledger verilerine erişmek için farklı yöntemler denemeye devam edecektir. Biz ise güven veren duruşumuzu güçlendirmeyi sürdürmek zorundayız. Bu sorun sektör çapında yaşanıyor ve birlikte savaşmamızı gerektiriyor, bu yüzden Ledger olarak bu savaşta üzerimize düşeni yapma kararlılığımızı iki katına çıkarıyoruz.
Bu blog gönderisinde, güvenlik uygulamalarımızı güçlendirmek ve 2020 yılında karşılaştığımız veri hırsızlığında adalet aramak için devam eden eylemlerimiz hakkında kullanıcılarımıza güncel bilgileri veriyoruz:
- Ledger’ın müşteri verilerini yönetme metodundaki değişiklikleri duyuruyoruz: Hedefimiz isim, adres ve telefon numarası gibi kişisel verilerinizi mümkün olan en kısa sürede tamamen silmektir. Müşterilerimize (siparişinizi yerine getirmek gibi) ve yasalara karşı yükümlülüklerimizi (muhasebe ve yasal yükümlülükler gibi) yerine getirmek için kendimizi ve üçüncü taraf sağlayıcıları bu verileri gerektiği kadar kısa bir süre tutmaya zorluyoruz. Tutulması gereken veriler daha da izole edilmiş bir ortama konulacaktır.
- Önemli güvenlik ve teknik bilgilerin Ledger Live aracılığıyla proaktif olarak iletileceği bir mesajlaşma modeli uygulayacağız. E-posta ve sosyal medya YALNIZCA ürün mesajlarını ve duyurularını yayınlamak için kullanılacak.
- Ledger, başarılı bir şekilde tutuklama ve kovuşturma sağlayacak bilgiler için 10 BTC’lik bir ödül fonu da dahil olmak üzere, Ledger’a ve Ledger müşterilerine yapılan saldırılardan sorumlu olanların kimliklerinin tespit edilmesi ve tutuklanması için çok sayıda ek kaynak ayırıyor. Diğer şirketlerin de ödül programına katılıp kripto topluluğunu daha güvenli bir yer haline getirmeye yardımcı olacağını umuyoruz.
Güvenlik hatırlatması: 24 kelimenizi ASLA KİMSEYE vermeyin. Ledger 24 kelimenizi sizden ASLA istemez. Ledger adına sizden birisi 24 kelimenizi sorarsa bu kişi suçludur, Ledger değildir. Kurtarma ifadenizin 24 kelimesi Ledger Nano cihazınıza girilmeli, ASLA LEDGER LIVE’a değil.
<Özet>
Bu yazıda veri ihlalimiz ile ilgili yaşananları mümkün olan en şeffaf şekilde özetleyeceğiz. Tüm Ledger ekibi bu zorlukları aşmak adına son derece sıkı çalışıyor. Bu uzun yazıda Ledger’ın verilerinizi güvende tutmak ve bu suçları işleyen suçluların yakalanıp tutuklanması için attığı adımlar hakkında size mümkün olduğunca fazla bilgi vermek istiyoruz.
1- Ne yaşandı?
Öncelikle durumu kısaca özetleyelim. 14 Temmuz 2020 tarihinde bir araştırmacı ödül programımız aracılığıyla bize ulaşarak e-ticaret ve pazarlama veritabanımızda bir veri ihlali olduğu konusunda bizi bilgilendirdi. Veri ihlalini derhal düzelttik ve iç soruşturmalar başlattık. Kötü niyetli bir saldırganın üçüncü tarafın API anahtarı aracılığıyla e-ticaret ve pazarlama veritabanımıza yetkisiz erişim edindiğini keşfettik. Ledger ve üçüncü taraf adli bilişim şirketi Orange Cyberdefense tarafından yürütülen adli araştırma sayesinde bir milyondan fazla e-posta adresinin ve isim, adres, sipariş edilen ürün(ler) ve telefon numarası gibi bilgileri içeren yaklaşık 9.500 müşteri kaydının çalındığını tespit edebildik. Hemen (29 Temmuz 2020) müşterilerimize bu durumu bildirerek adli bilgileri ilgili makamlarla paylaştık.
20 Aralık 2020’de çalınan veritabanlarına ait tüm içerik bir forumda herkese açık şekilde yayınlandı. Bu veritabanlarının tamamını görünce 1 milyondan fazla e-posta adresinin yanında isim, adres ve telefon numarası da dahil olmak üzere yaklaşık 272.000 müşteri kaydının çalındığını anladık. Bu durum fark edilir edilmez etkilenen müşterilerimizi e-posta yoluyla uyardık (21 Aralık 2020).
Şimdi elimizde paylaşılacak yeni bir bilgi var: 23 Aralık 2020’de e-ticaret hizmet sağlayıcımız Shopify tarafından destek ekiplerindeki görevini kötüye kullanan bazı üyelerin Ledger’ınkiler de dahil olmak üzere müşteri işlem kayıtlarını ele geçirdikleri, satıcı verilerini içeren bir olay hakkında bildirim aldık. Temsilci(ler) Nisan ve Haziran 2020’de müşteri işlem kayıtlarını yasa dışı olarak ihraç etti. Shopify’a göre Eylül 2020‘de rapor edilen bu olay 200’den fazla satıcı ile ilgilidir ancak Shopify, 21 Aralık 2020’ye kadar Ledger’ın da bu saldırıda hedef olduğunu keşfetmemişti. Shopify, bu konuyla ilgili araştırmalarına devam etmek için dijital adli uzmanlar ve danışmanlarla bağlantıya geçildiğini ve meseleyi hem Kanada’da hem de ABD’de kolluk kuvvetlerine bildirdiklerini belirtti.
Adli bir firma olan Orange Cyberdefense ile birlikte bunun yaklaşık 292.000 müşteriyi etkilediğini tespit edebildik. Veritabanı önceki saldırıda açığa çıkanlarla %93 oranında benzerlik gösterse de e-posta, isim, posta adresi, sipariş edilen ürünler ve telefon numarası bilgilerini de içeren yaklaşık 20.000 yeni müşteri kaydı vardı.
Haziran 2020’den sonra bir Ledger ürünü satın aldıysanız veya ürününüzü Ledger.com dışında satın aldıysanız, verileriniz bu olaylarda açığa çıkmamıştır.
Her iki saldırıyla ilgili sık sorulan soruların yanıtları için lütfen SSS sayfasını ziyaret edin. Gerçekleştirilen oltalama saldırılarının türleri hakkında bilgi sahibi olmak veya bir kimlik avı saldırısını ekibimize bildirmek için bu sayfaya göz atın.
Ledger donanım cüzdanları bu saldırılarda güvenlik açığı vermemiştir ve kripto paralarınız 24 KELİMENİZİ KİMSEYLE PAYLAŞMADIĞINIZ SÜRECE (özellikle Ledger gibi davranan kişilere çünkü Ledger bu bilgiyi asla sizden istemez) güvende kalır.
2- Ledger’ın attığı adımlar
14 Temmuz’da farkına varılan veri ihlaliyle ilgili
14 Temmuz 2020’de ihlal için yama yaptık. 17 Temmuz 2020’de Fransız Veri Koruma Kurumu’na haber verdik. 20 Temmuz 2020’de Orange Cyberdefense ile adli bilişim süreci başlattık. Veri ihlalini müşterilerimize bildirmeden önce, Orange Cyberdefense ile yürütülen incelemeyi tamamlayıp mümkün olduğunca çok bilgi toplamak gerekli ve tedbir amaçlıydı.
Nihai rapor ulaşır ulaşmaz 29 Temmuz 2020’de tüm e-posta veritabanımıza bir e-posta gönderdik. Aynı gün basın açıklamasıyla medyayı konu hakkında bilgilendirdik. 5 Ağustos 2020’de Fransa savcılığına şikayette bulunduk.
Müşterilerimize yönelik oltalama girişimleriyle ilgili
Son aylarda müşterilerimize yönelik yoğun bir oltalama saldırısı fark ettik. E-posta yoluyla, web sitemizde, Ledger Live’da ve Twitter, Reddit ve diğer üçüncü taraf platformlarda müşterilerimizi bu saldırılar hakkında uyarmak için pek çok iletişim gerçekleştirdik. 22 Ekim 2020’de tüm veri tabanımıza bu oltalama girişimleriyle ilgili bir e-posta gönderdik. Oltalama web sitelerini oluşturan(lar)ı tespit etmek için ticari istihbarat ve siber suçlar alanında uzman bir şirket olan Webdrone ile işbirliği yaptık. Oltalama web sitelerini kayıt şirketlerine süratle kapattırmak için Corsearch ile bir program yürütmekteyiz. Bugüne kadar 216 site kapatıldı ve bu sayı giderek artıyor.
Şirket içi marka koruma ekibimiz, oltalama saldırıları başladığından beri kendilerini bu konuya özel olarak adadı. Corsearch bizim adımıza uluslararası araştırma kuruluşlarıyla işbirliği yapıyor. 16 Aralık 2020’de bu sayfaları tanımanıza ve gelen yeni saldırıları bildirmenize yardımcı olması için bu oltalama saldırılarının anatomisinin paylaşıldığı özel bir sayfa açtık.
Dolandırıcıların kullandığı kripto para cüzdanlarını takip etmek için Chainalysis ve diğer kuruluşlarla birlikte çalışıyoruz. Ortaya çıkarırsak/çıkardığımızda gereğinin yapılması (örneğin kripto para borsalara gelmeleri hâlinde kripto varlıkları dondurmak gibi) için bunları kolluk kuvvetlerine bildireceğiz.
Bu saldırılardan sorumlu kişileri bulmak ve takip etmek için birkaç özel dedektifle çalışmaya devam ediyoruz. Toplanan tüm ipuçları ve bilgiler ilgili makamlarla paylaşılıyor (elinizde bize iletebileceğiniz yeni bilgiler varsa lütfen aşağıdaki ödül programına bakın). Ledger ayrıca oltalama girişimleri konusunda Fransa savcılığına şikayette bulundu. Ledger ve müfettişler tarafından toplanan bilgiler düzenli olarak paylaşılıyor.
Bu olaylardan dolayı Ledger’a yapılan bilgi taleplerinde geçen yılın bu zamanına kıyasla çok yüksek bir artış yaşandı. Müşterilerimizle gerçekleştirilen her iletişim bizim için önemlidir ve her birine kesin bilgilerle yanıt vermek istiyoruz. Bu talebi karşılamak için 2020 yılında daha fazla kişiyi işe aldık ve 2021 yılında da işe alımlara devam ediyoruz. Verdiğimiz müşteri desteğinde gecikmeler yaşıyorsanız içtenlikle özür dileriz. Herkese olabildiğince çabuk yanıt vermek için çok çalışıyoruz. Umarız bu blog yazısı ve SSS aradığınız cevapları hemen bulmanıza yardımcı olur.
Shopify veri ihlaliyle ilgili
Shopify’ın yer aldığı olayla ilgili inceleme devam ediyor. Konu hakkında yeni bilgiler ortaya çıktıkça size en son haberleri vermeye devam edeceğiz. Bugün itibarıyla ise 26 Aralık 2020’de Fransız Veri Koruma Kurumuna bilgi verdik. Orange Cyberdefense ile adli bilişim tamamladıktan sonra, bu ihlalden etkilenen tüm müşterileri 13 Ocak 2021’de e-posta yoluyla bilgilendirdik. Olay hakkında Shopify ve savcılarla işbirliği hâlindeyiz. FBI ve RCMP liderliğinde bir soruşturma hâlihazırda devam ediyor. Ledger, yaşananları Fransız Başsavcılığına da bildirerek dolandırıcılar hakkında şikayette bulundu. Gelişmiş güvenlik sağlamak için yeni dâhili süreçlerden yararlanarak Shopify ile birlikte çalışmaya devam ediyoruz.
3- Sıradaki adımlar
Veri ihlalleri ve oltalama saldırıları sektörde yaşanan bir sorundur. Bu sorun üzerinde her gün çalışmaya devam ediyoruz ve bugün müşterilerimizi daha fazla korumayı hedefleyen yeni planımızın başlangıcını sizlerle paylaşmak istiyoruz.
ÖNCELİKLE, verilerinize sahip olmamayı tercih ederiz; güveniniz bizim için verilerinizi tutmaktan çok daha değerli. Ürününüzü doğrudan Ledger’dan sipariş ettiğinizde siparişinizi gönderebilmek için bilgilerinizi toplarız. Muhasebe düzenlemeleri ve yasal yükümlülükler, e-ticaret alışveriş verilerini belirli bir süreliğine tutmamızı gerektiriyor. Bununla birlikte, GDPR ilkelerinin ötesinde çaba göstermek ve sınıfının en iyi yaklaşımını benimsemek için bu verileri ele alma şeklimizi değiştiriyoruz:
- Hedefimiz isim, adres ve telefon numarası gibi kişisel verilerinizi mümkün olan en kısa sürede tamamen silmektir. Müşterilerimize (siparişinizi yerine getirmek gibi) ve yasalara karşı yükümlülüklerimizi (muhasebe ve yasal yükümlülükler gibi) yerine getirmek için kendimizi ve üçüncü taraf sağlayıcıları bu verileri gerektiği kadar kısa bir süre tutmaya zorluyoruz. Tutulması gereken veriler daha da izole edilmiş bir ortama konulacaktır. Örneğin isim, adres ve telefon numarası gibi e-ticaret sipariş bilgilerinizi ürününüzün gönderilmesinden üç ay sonra izole edilmiş bir ortama koymayı hedefliyoruz.
- Kişisel bilgilerinizin görüntülendiği yerleri azaltacağız. Örneğin bu verilerin e-ticaret e-posta sağlayıcımızdan geçmemesi için size gönderdiğimiz sipariş onay e-postalarından isim, adres ve telefon numarasını sileceğiz.
- Önemli güvenlik ve teknik bilgilerin yalnızca Ledger Live aracılığıyla proaktif olarak iletileceği bir mesajlaşma modeli uygulayacağız. E-posta ve sosyal medya YALNIZCA ürün mesajlarını ve duyurularını yayınlamak için kullanılacak.
- Tüm tedarikçilerimiz ve ortaklarımızın en yüksek standartları karşılamaya devam etmelerini sağlamak için ayrıntılı bir yeniden değerlendirme yapacağız.
İKİNCİSİ, bunun gibi hırsızlıklar ve saldırılar için soruşturma ve yargılama kaçınılmaz olmalı. Kripto para sektörünün gelişmesi için, kripto para hırsızlığı yapıldığında ödenecek bir bedel olmalıdır. Bu davalarda kolluk kuvvetlerinin yanı sıra özel dedektiflerle çalışmaya devam ediyoruz ve daha fazla takviye ekliyoruz:
- Ek özel dedektifler tutarak bu veri hırsızlıklarından sorumlu olanları bulmak için deneyim ve farklı yaklaşımlardan yararlanıyoruz. Mümkünse sorumluları bulmak, tutuklamak ve kovuşturmak için dünya çapında kolluk kuvvetleri ile birlikte çalışmaya devam edeceğiz.
- Ledger’a ve müşterilerimize karşı saldırılardan sorumlu olanların kimliklerinin tespit edilmesi, tutuklanması ve başarılı bir şekilde kovuşturulmasını sağlayacak, yasal olarak elde edilen yeni bilgiler için bir ödül vereceğiz. Ledger ilk ödül rezervi olarak 10 BTC bakiyeli bir cüzdan (adres: bc1qshfl9cnyjam64m3c2jpsg23u34z7w0kkwncdsd) oluşturmuştur. Bu ödül Ledger’ın takdirine bağlı olarak verilecek ve şu gibi faktörler göz önüne alınacaktır: Bilgi yasal olarak mı elde edildi? Yeni mi? Bilgiler ne derece önemli ve soruşturmaya yardımcı olup sorumluların kovuşturulmasını ne derece sağlayabilir? Bu kavuşturma başarılı oldu mu? Genel anlamda ödül programımızın burada belirtilen hükümlerine tabi olacaktır.
- Bu girişim ile sektördeki diğer taraflarla iş birliği yapma isteğimizi duyuruyoruz. Kripto topluluğuna karşı işlenen suçlar için bu ödül programının finansmanının devam ettirilmesi konusunda sektördeki diğer şirketlere ve kişilere ulaşıyoruz. Kripto sektöründeki diğer şirketlerin CEO’ları, bu projede bize katılmak isterseniz lütfen en kısa sürede iletişime geçin.
Yaşanan bu olaylardan ve müşterilerimizin yaşadığı tüm acı ve sıkıntılardan dolayı büyük üzüntü duyuyoruz. Sizi güvende tutmak Ledger’ın görevidir ve bu olayları hem kişisel hem de mesleki olarak son derece ciddiye alıyoruz. Yakında donanım cüzdanlarımızın güvenliğinin tek dayanağı olan 24 kelimeyi kaldıracak ve bireysel müşterilere fon sigortasının kapısını aralayacak teknik bir çözüm sunacağız. Bu saldırılar sizi ve kriptonuzu güvende tutan ürünler oluşturmaya ve piyasaya sürmeye olan kararlılığımıza yalnızca güç kattı. 2021 yılında duyuracağımız heyecan verici, yenilikçi ve güvenli ürün ile hizmetlerimiz bulunuyor. Ledger, en güvenli ürünleri üretme ve kripto ekosistemini koruma konusunda kararlılığını sürdürmektedir. Nokta.
LÜTFEN bu hatırlatmayı dikkate alarak kendinizi korumak için tedbirli davranın ve mümkün olan her adımı atın. Kriptonuzun değeri arttıkça ve daha fazla insan ekosisteme katıldıkça, bu konu odak noktası olmaya devam edecektir. Crypto Casey, bu videoda ve podcast yayınında durumu ve kendinizi nasıl koruyabileceğinizi çok güzel özetliyor. Lütfen kendinizi ve kriptolarınızı güvende tutmak için tüm adımları uygulayın.
Hepimiz aynı nedenden dolayı buradayız: Kripto para ve dijital varlıkların sahip olduğu değere ve geleceğe uzun zamandır inanıyoruz. Ledger olarak çok önemli bir ders aldık ve güveninizi tam anlamıyla tesis etmek adına sıkı çalışmaya devam edeceğiz. Bundan ders çıkarıyoruz. Sonuç olarak daha güçlü ve daha dayanıklı hâle geliyoruz.
Saygılarımızla,
Pascal, Ian, Antoine, Matt, Charles.