事件经过
2020 年 7 月 14 日,一位参与赏金计划的研究人员告知我们,Ledger 网站可能发生了数据泄露事件。 收到研究人员报告后,我们立即修复漏洞并展开内部调查。 漏洞修补完成一周后,我们发现该漏洞曾在 2020 年 6 月 25 日被未经授权的第三方进一步利用,该第三方访问了我们用于发送订单确认和促销电子邮件的电子商务和营销数据库,该数据库主要由电子邮件地址组成,但包含一个子集,其中包括联系人和订单的详细信息,例如名字和姓氏、邮政地址、电子邮件地址和电话号码。 您的付款信息和加密资金是安全的。
为了尽可能透明,我们想对此做出解释。 未经授权的第三方通过 API 密钥访问了电子商务和营销数据库的一部分。 API 密钥现在已经停用,无法再次使用。
涉及哪些个人信息?
涉及到的是联系方式和订单详情。 这主要是我们客户的电子邮件地址,涉及约 100 万个地址。 经过进一步调查,我们确定还有一个包含 9500 名客户的子集也遭到暴露,其中包括姓名、邮政地址、电话号码或订购产品信息。 有鉴于此次泄露的范围,同时基于我们对客户的承诺,我们决定向所有客户通报此情况。
详细个人信息遭泄露的 9500 位客户将在今天收到一封专门电子邮件,阐明更多细节。
您的支付信息、凭据(密码)等电子商务数据与本次数据泄露无关。 受泄露影响的只有我们客户的联系方式。
我们的硬件钱包、Ledger Live 以及您加密资产的安全与此次数据泄露没有任何关系,也不会因此受到影响,上述对象始终安全且从未置身险境。您是唯一掌控并能够访问此信息的人。
我们采取过的措施以及正在开展的工作
由于该问题仅涉及电子商务和营销联系方式,并且我们有能力立即予以修复,因此在对社区发出警告之前,我们花时间与第三方专家一道进行了周密的内部调查。
7 月 17 日,我们通知了法国数据保护机构 CNIL,该机构的作用是确保数据隐私法在个人数据的收集、存储和使用中得到执行。 7 月 21 日,我们与 Orange Cyberdefense 合作评估了数据泄露的潜在损害并识别潜在的数据泄露。
经过我们的安全团队和 Orange Cyberdefense 的彻底调查,我们可以得出结论,电子商务和营销数据库已遭泄露。 本文发布时,所有受影响的客户都将收到一封包含本次更新的电子邮件。
我们正在积极监控该数据库在互联网上出售的证据,到目前为止尚未发现任何证据。 我们还完成了内部渗透测试,也正在准备原定于 9 月的外部渗透测试。
我们正在将电子商务纳入我们最初适用产品(硬件和 Vault 私钥库)的安全和组织计划范围。 我们正在采取行动达到 ISO 27001 所列的要求。
我们正在向当局提交正式投诉,以便全面调查情况。
为了最大限度保护客户隐私,我们将把 Nano 的配套应用程序 Ledger Live(该程序不会保留任何客户相关信息)以及我们在Twitter(推特)、Facebook(脸书)和 LinkedIn 上的社交媒体账户作为新产品开发情况的主要联络点。
要了解我们的隐私政策以及您数据的处理方式,请点击此处。
您可以执行的操作
我们建议您保持谨慎,始终小心恶意诈骗者的网络钓鱼式攻击企图。简而言之,Ledger 决不会要求您提供恢复短语的 24 个助记词。 如果您收到看似来自 Ledger 的电子邮件要求提供 24 个助记词,应当毫无疑问地将其视为网络钓鱼式攻击企图。
我们会竭尽所能帮助您,同时也建议您访问 Ledger 学院的安全部分(更准确地说是关于钓鱼式攻击的文章),自行了解一般安全原则。
我们对此次事件深表遗憾。 我们非常重视隐私,我们通过自己的漏洞赏金计划发现了这个问题并立即进行了修复。 但是,不论我们如何努力避免和解决这种情况,我们都要对此次事件给您带来的不便表示歉意。
如有任何问题,请阅读我们的常见问题解答,如需任何其他信息,请直接联系我们的客服人员。
要了解我们的隐私政策以及您数据的处理方式,请点击此处。