Temmuz 2020’de yaşanan e-ticaret ve pazarlama veri ihlali hakkında: Ledger Yönetiminden Bir Mesaj
Ne oldu?
14 Temmuz 2020 günü, ödül programımıza katılan bir araştırmacı Ledger web sitesindeki potansiyel bir veri ihlalini bize bildirdi. Araştırmacının raporu elimize ulaştıktan sonra bu ihlali düzelttik ve bir iç soruşturma başlattık. İhlalin düzeltilmesinden bir hafta sonra, 25 Haziran 2020 günü bu ihlalin yeniden kötüye kullanılmış ve yetkisiz bir üçüncü tarafın, e-ticaret ve pazarlama veritabanımıza izinsiz erişim sağlamış olduğunu ve çeşitli sipariş onayları ve promosyon e-postaları gönderdiğini tespit ettik. İlgili veritabanımız çoğunlukla e-posta adreslerinden oluşuyor olsa da ad, soyadı, posta adresi, e-posta adresi ve telefon numarası gibi iletişim ve sipariş bilgilerini de içeriyor. Ödeme bilgileriniz ve kriptolarınız güvendedir.
Mümkün olduğunca şeffaf olmak adına, yaşananları sizinle paylaşmak istedik. Yetkisiz bir üçüncü taraf, bir API Anahtarı kullanarak e-ticaret ve pazarlama veritabanımızın bir kısmına erişim sağladı. API anahtarı devre dışı bırakıldı ve artık erişilemiyor.
Hangi kişisel bilgileri içeriyordu?
İletişim ve sipariş bilgilerini içeriyordu. Çoğunlukla müşterilerimizin e-posta adreslerini içeren bu listede yaklaşık 1 milyon adres bulunuyordu. Durum hakkında yapılan araştırma sonucunda, 9.500 müşterinin ayrıca ad, soyadı, posta adresi, telefon numarası ve ürün siparişleri gibi detaylı kişisel bilgilerinin de ifşa olduğu ortaya çıktı. Bu ihlalin kapsamı ve bizim müşterilerimize olan sorumluluğumuz sebebiyle, tüm müşterilerimizi durum hakkında bilgilendirmeye karar verdik.
Detaylı kişisel bilgileri ifşa olmuş olan o 9.500 müşteriye bugün ayrı bir e-posta göndererek durum hakkında daha fazla bilgi sağladık.
E-ticaret verilerinizle alakalı olarak, herhangi bir ödeme bilgisi veya hesap giriş bilgileri (parolalar) bu veri ihlali sırasında ifşa olmadı. Sadece müşterilerimizin iletişim bilgileri etkilendi.
Bu veri ihlali, donanım cüzdanlarımız veya Ledger Live’ın güvenliğini etkilememiştir ve herhangi bir bağlantısı yoktur. Kripto varlıklarınız güvendedir ve herhangi bir şekilde tehlikeye girmemiştir. Bu bilgilerin kontrolü ve erişimi sadece sizdedir.
Neler yaptık ve neler yapıyoruz?
Bu ihlal sadece e-ticaret ve pazarlama iletişim bilgileriyle sınırlıydı ve hemen çözüm üretebildik. Buna ek olarak, topluluğumuzu konu hakkında bilgilendirmeden önce üçüncü taraf uzmanlar eşliğinde kapsamlı bir iç soruşturma yapmak için zaman ayırdık.
17 Temmuz tarihinde kişisel verilerin toplanması, saklanması ve kullanımı için geçerli veri gizliliği yasalarının uygulanmasını sağlayan Fransız Veri Koruma Kurumu CNIL’i bilgilendirdik. 21 Temmuz tarihinde, veri ihlalinin sebep olduğu potansiyel hasarları değerlendirmek ve potansiyel veri ihlallerini tespit etmek için Orange Cyberdefense ile işbirliği kurduk.
Güvenlik ekibimiz ve Orange Cyberdefense tarafından yapılan kapsamlı bir soruşturma sonucunda e-ticaret ve pazarlama veritabanlarımızın ihlal edildiği sonucuna kesin olarak ulaştık. Bu yazının yayınlandığı sırada, etkilenen tüm kullanıcılar bu bildirimle ilgili açıklamaların bulunduğu ayrı bir e-posta daha aldılar.
Veritabanının internette satıldığına dair kanıtları aktif bir şekilde takip etmekteyiz ve henüz herhangi bir kanıta rastlamadık. Bunlara ek olarak, dahili sızma testleri gerçekleştirdik ve eylül ayında yapılması planlanmış olan harici sızma testlerini daha yakın bir tarihe almak adına çalışmalarımızı sürdürüyoruz.
Ürünlerimiz (Donanım Cüzdanlar ve Vault) odak alınarak başlatılan güvenlik ve örgütsel programımızın kapsamını e-ticareti de dahil edecek şekilde genişletiyoruz. ISO 27001’de listelenen şartları karşılamaya yönelik adımlar atıyoruz.
Durum hakkında tam soruşturma gerçekleştirmek için yetkili otoritelere resmî bir şikayette bulunacağız.
Müşterilerimizin gizliliğini maksimum seviyeye çıkarmak adına, Nano cihazınıza eşlik eden ve müşterilerimiz hakkında hiçbir bilgiyi saklamayan Ledger Live uygulaması, yeni ürün geliştirmeleri hakkında bilgiler için başlıca iletişim noktası olacak. Twitter, Facebook ve LinkedIn sosyal medya hesaplarımız da bu değişimi destekleyecek.
Gizlilik Politikamızı incelemek ve verilerinizle ne yaptığımızı anlamak için lütfen buraya tıklayın.
Neler yapabilirsiniz?
Dikkatli olmanızı ve kötü niyetli dolandırıcıların oltalama girişimlerine karşı tedbirli davranmanızı öneririz. Kısaca ifade etmek gerekirse Ledger, kurtarma ifadenizin 24 kelimesini sizden asla istemez. Ledger tarafından gönderilmiş gibi görünen ve 24 kelimenizi isteyen bir e-posta alırsanız kesinlikle bir oltalama girişimi olduğunu bilmelisiniz.
Buna ek olarak, elimizden gelen her türlü çabayı gösteriyor olmamızın yanında, genel güvenlik prensiplerini öğrenmek ve özellikle de oltalama saldırıları hakkındaki makalemizi okumak için Ledger Academy güvenlik bölümünü ziyaret etmenizi öneririz.
Bu olaydan dolayı son derece üzgünüz. Gizlilik konusunu çok ciddiye alıyoruz. Bu sorunu yazılım hatası ödül programımız sayesinde keşfettik ve hemen düzelttik. Bu durumu önlemek ve düzeltmek için elimizden gelen her şeyi yapmış olsak da size verdiği her türlü rahatsızlıktan dolayı içtenlikle özür dileriz.
Herhangi bir sorunuz varsa SSS sayfamızı okuyabilir ve daha fazla bilgi isterseniz doğrudan müşteri destek ekibimizle iletişime geçebilirsiniz.
Gizlilik Politikamızı incelemek ve verilerinizle ne yaptığımızı anlamak için lütfen buraya tıklayın.