Si bien la seguridad de los productos Ledger es incomparable (los productos Ledger Nano son las únicas carteras de hardware certificadas de forma independiente en el mercado) y no se ven comprometidas, los delincuentes están atacando a los clientes de Ledger con intentos de phishing utilizando diferentes tipos de ataques.
Recientemente, Shopify descubrió que los clientes de Ledger se vieron afectados por el robo de datos de Shopify revelado por Shopify aquí , y notificó a Ledger.
Los estafadores siempre intentarán diferentes ángulos para acceder a los datos de Ledger y debemos continuar fortaleciendo nuestra postura de seguridad. Este es un problema de toda la industria que debemos combatir juntos, y Ledger está redoblando nuestro compromiso de hacer nuestra parte en esta lucha.
En esta publicación de blog, estamos actualizando a nuestros usuarios sobre nuestras acciones en curso para fortalecer nuestras prácticas de seguridad y buscar justicia en nuestro robo de datos de 2020:
- Estamos anunciando cambios en la forma en que Ledger manejará los datos de los clientes: Nuestro objetivo es eliminar por completo sus datos personales, como el nombre, la dirección y el número de teléfono, lo antes posible. Nos desafiamos a nosotros mismos y a los proveedores externos a mantener estos datos durante un período de tiempo tan corto como sea necesario para cumplir con nuestras obligaciones con nuestros clientes (como cumplir con su pedido) y la ley (como las obligaciones legales y contables). Los datos que deben conservarse se colocarán en un entorno más segregado.
- Implementaremos un modelo de mensajería en el que se transmitirá información técnica y de seguridad importante proactiva a través de Ledger Live . El correo electrónico y las redes sociales SOLO se utilizarán para transmitir mensajes y anuncios de productos.
- Ledger está comprometiendo numerosos recursos adicionales para identificar y enjuiciar a los responsables de los ataques a los clientes de Ledger y Ledger, incluido un fondo de recompensa de 10 BTC para obtener información que conduzca a un arresto y enjuiciamiento exitosos . Esperamos que otras empresas se unan al programa de recompensas y ayuden a que la comunidad criptográfica sea un lugar más seguro.
Recordatorio de seguridad: NUNCA des tus 24 palabras a NADIE. Ledger NUNCA le pedirá sus 24 palabras. Si alguien se hace pasar por Ledger y le pide sus 24 palabras, es un criminal, no Ledger. El ÚNICO lugar donde se deben ingresar las 24 palabras de su semilla de recuperación es en su Ledger Nano, NUNCA EN LEDGER LIVE.
En esta publicación recapitularemos los eventos relacionados con nuestra violación de datos de la manera más transparente posible. Todo el equipo de Ledger está trabajando muy duro para resolver estos desafíos. Esta publicación es larga, pero queremos brindarle la mayor cantidad de información posible sobre la dirección que está tomando Ledger para mantener sus datos seguros y atrapar y procesar a los criminales que perpetran estos delitos .
1- Que pasó
Primero, para recapitular la situación brevemente: el 14 de julio de 2020, un investigador se comunicó con nosotros a través de nuestro programa de recompensas para informarnos de una violación de datos en nuestra base de datos de comercio electrónico y marketing. Inmediatamente arreglamos la filtración de datos y lanzamos investigaciones internas.
Descubrimos que un atacante malintencionado había obtenido acceso no autorizado a nuestra base de datos de comercio electrónico y marketing a través de la clave API de un tercero. A través de análisis forenses realizados por Ledger y por la empresa forense de terceros Orange Cyberdefense pudimos identificar que también se robaron más de un millón de direcciones de correo electrónico y aproximadamente 9500 registros de clientes, incluidos el nombre, la dirección, los productos pedidos y el número de teléfono.
Inmediatamente (29 de julio de 2020) notificamos a nuestros clientes y compartimos la información forense con las autoridades pertinentes.
El 20 de diciembre de 2020, el contenido completo de las bases de datos robadas se puso a disposición del público en un foro. Una vez que vimos estas bases de datos completas, pudimos ver que aproximadamente 272,000 registros de clientes, incluidos el nombre, la dirección y el número de teléfono, fueron robados además de las más de 1 millón de direcciones de correo electrónico.
Tan pronto como se descubrió esto, advertimos a los clientes afectados por correo electrónico (21 de diciembre de 2020).
Ahora, tenemos nueva información para compartir: el 23 de diciembre de 2020 recibimos una notificación de nuestro proveedor de servicios de comercio electrónico, Shopify, con respecto a un incidente relacionado con datos de comerciantes en el que miembros deshonestos de su equipo de soporte obtuvieron registros de transacciones de clientes. incluido el de Ledger.
Los agentes exportaron ilegalmente registros transaccionales de clientes en abril y junio de 2020. Según Shopify, esto está relacionado con el incidente reportado en septiembre de 2020 , que concierne a más de 200 comerciantes, pero hasta el 21 de diciembre de 2020, Shopify no había descubierto que Ledger también fue el objetivo de este ataque.
Shopify nos dice que contrataron a expertos y asesores forenses digitales para continuar su investigación sobre el asunto y han informado del asunto a las fuerzas del orden público tanto en Canadá como en los EE. UU.
Junto con la firma forense Orange Cyberdefense pudimos establecer que afecta aproximadamente a 292.000 clientes. Si bien la base de datos es un 93% similar a las expuestas en el ataque anterior, hubo aproximadamente 20,000 nuevos registros de clientes que incluyen correo electrónico, nombre, dirección postal, productos pedidos y número de teléfono incluidos en esta infracción.
Si compró un producto de Ledger después de finales de junio de 2020, o si compró su producto fuera de Ledger.com, sus datos no quedaron expuestos en estos incidentes.
Para obtener respuestas a las preguntas frecuentes sobre estos dos ataques, visite las Preguntas frecuentes . Para informarse sobre los tipos de ataques de phishing que se están perpetrando o para informar de un ataque de phishing a nuestro equipo, consulte esta página .
A lo largo de estos ataques, las carteras de hardware de Ledger no se ven comprometidas y su criptomoneda está segura MIENTRAS NUNCA COMPARTA SUS 24 PALABRAS CON NADIE (especialmente alguien que se haga pasar por Ledger; Ledger nunca le pedirá esta información).
2- Acciones realizadas por Ledger
Sobre la filtración de datos descubierta el 14 de julio
Reparamos la infracción el 14 de julio de 2020. El 17 de julio de 2020 notificamos a la Autoridad de Protección de Datos de Francia. Comenzamos a realizar análisis forenses con Orange Cyberdefense el 20 de julio de 2020. Era necesario y prudente completar la investigación con Orange Cyberdefense y recopilar la mayor cantidad de hechos posible antes de comunicar la violación de datos a nuestros clientes.
Tan pronto como tuvimos el informe final, enviamos un correo electrónico a toda nuestra base de datos de correo electrónico el 29 de julio de 2020 . Informamos a los medios de comunicación sobre la situación a través de un comunicado de prensa el mismo día. Presentamos una denuncia ante el fiscal francés el 5 de agosto de 2020.
Sobre las campañas de phishing contra nuestros clientes
En los últimos meses, hemos visto una gran actividad de ataques de phishing en nuestros clientes. Nos hemos comunicado intensamente para advertir a nuestros clientes sobre estos ataques por correo electrónico, en nuestro sitio web, en Ledger Live y en Twitter, Reddit y otras plataformas de terceros.
Enviamos un correo electrónico a toda nuestra base de datos con respecto a estos intentos de phishing el 22 de octubre de 2020. Nos asociamos con Webdrone , una empresa especializada en inteligencia empresarial y ciberdelito, para identificar a los autores de los sitios web de phishing. Tenemos un programa continuo con Corsearch para cerrar los sitios web de phishing rápidamente a través de los registradores y hasta la fecha hemos cerrado 216 sitios y contando.
Nuestro equipo interno de protección de marca se ha dedicado exclusivamente a los ataques de phishing desde que comenzaron.
Corsearch está colaborando con organizaciones internacionales de investigación en nuestro nombre.
El 16 de diciembre de 2020 lanzamos una página específica que comparte la anatomía de estos ataques de phishing para ayudarlo a identificarlos e informar cualquier ataque nuevo que reciba.
Estamos trabajando con Chainalysis y otras organizaciones para rastrear las carteras de criptomonedas utilizadas por los estafadores. Si / cuando se descubran, los informaremos a la policía para que tomen medidas (por ejemplo, para congelar los activos criptográficos en caso de que lleguen a los intercambios).
Seguimos trabajando con varios investigadores privados para encontrar y rastrear a las personas responsables de estos ataques.
Todas las pistas y la información recopilada se comparten con las autoridades pertinentes (si tiene nueva información para nosotros, consulte el programa de recompensas a continuación).
Para las campañas de phishing, Ledger también ha presentado una denuncia ante el fiscal francés y comparte información recopilada por Ledger y los investigadores de forma regular.
Debido a estos incidentes, Ledger ha experimentado un aumento exponencial en las solicitudes de información en comparación con esta época del año pasado. Cada comunicación con nuestros clientes es importante para nosotros y queremos responder a todos con información precisa.
Para satisfacer esta demanda, contratamos más recursos en 2020 y continuaremos contratando en 2021. Lamentamos sinceramente si está experimentando retrasos con nuestro servicio de atención al cliente y estamos trabajando arduamente para responder a todos lo más rápido posible.
Esperamos que esta publicación de blog y las preguntas frecuentes lo ayuden a encontrar las respuestas que está buscando.
Sobre la violación de datos de Shopify
La investigación sobre el incidente que involucra a Shopify está en curso y continuaremos informándote a medida que se desarrolle la situación.
A partir de hoy: Notificamos a la Autoridad de Protección de Datos de Francia el 26 de diciembre de 2020. Después de completar el análisis forense con Orange Cyberdefense, informamos a todos los clientes afectados por esta violación por correo electrónico el 13 de enero de 2021.
Continuamos trabajando con Shopify y los fiscales en el caso. ; ya se está llevando a cabo una investigación, dirigida por el FBI y la RCMP. Ledger también informó de los hechos al fiscal francés y presentó una denuncia contra el agente o agentes deshonestos. Seguimos trabajando con Shopify utilizando nuevos procesos internos para garantizar una mayor seguridad.
3- Próximos pasos
Las filtraciones de datos y los ataques de phishing son un problema de toda la industria. Seguimos trabajando en este problema todos los días, y hoy queremos compartir con ustedes el comienzo de nuestro nuevo plan que tiene como objetivo aumentar la protección de nuestros clientes.
EN PRIMER LUGAR, preferiríamos no tener sus datos; su confianza es mucho más valiosa para nosotros que mantener sus datos . Cuando solicita su producto directamente de Ledger, recopilamos su información para poder enviarle su pedido. Las regulaciones contables y las obligaciones legales requieren que conservemos los datos de compra de comercio electrónico durante un cierto período de tiempo.
Aún así, estamos cambiando la forma en que manejamos estos datos, para ir más allá de los principios del RGPD y adoptar el mejor enfoque de su clase:
- Nuestro objetivo es eliminar por completo sus datos personales, como el nombre, la dirección y el número de teléfono, lo antes posible. Nos desafiamos a nosotros mismos y a los proveedores externos a mantener estos datos durante un período de tiempo tan corto como sea necesario para cumplir con nuestras obligaciones con nuestros clientes (como cumplir con su pedido) y la ley (como las obligaciones legales y contables). Los datos que deben conservarse se colocarán en un entorno más segregado. Por ejemplo, nuestro objetivo es colocar la información de su pedido de comercio electrónico, como el nombre, la dirección y el número de teléfono, en un entorno separado tres meses después del envío de su producto.
- Reduciremos las ubicaciones en las que se muestra su información personal. Por ejemplo, eliminaremos el nombre, la dirección y el número de teléfono de los correos electrónicos de confirmación del pedido que le enviamos para que estos datos no pasen por nuestro proveedor de correo electrónico de comercio electrónico.
- Implementaremos un modelo de mensajería en el que la información técnica y de seguridad importante proactiva se transmitirá únicamente a través de Ledger Live . El correo electrónico y las redes sociales SOLO se utilizarán para transmitir mensajes y anuncios de productos.
- Realizaremos una reevaluación detallada de todos nuestros proveedores y socios para asegurarnos de que continúen cumpliendo con los más altos estándares.
SEGUNDO, los robos y ataques como este no pueden quedar sin investigar o sin enjuiciar. Para que la criptomoneda prospere, debe haber un precio a pagar por cometer el robo de criptomonedas. Continuamos trabajando con la policía y con investigadores privados en estos casos, y estamos agregando más potencia de fuego:
- Estamos contratando capacidad adicional de investigación privada, agregando experiencia y diferentes enfoques para encontrar a los responsables de estos robos de datos. Continuaremos trabajando en conjunto con las fuerzas del orden mundial para encontrar, arrestar y procesar a los responsables siempre que sea posible.
- Estamos creando una recompensa por nueva información, obtenida legalmente, que lleve a la identificación, arresto y enjuiciamiento exitoso de los responsables de los ataques contra Ledger y nuestros clientes. Ledger ha sembrado una billetera con 10 BTC (dirección: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) como reserva inicial de recompensa. Esto se desembolsará a discreción de Ledger y considerará factores como: ¿la información se ha obtenido legalmente? ¿Es nuevo? ¿Qué tan sustancial es la información y en qué medida ayudará a avanzar en la investigación y dará como resultado una capacidad directa para enjuiciar a las personas? ¿Ha tenido éxito esa acusación? De manera más general, estará sujeto a los términos de nuestro programa de recompensas disponible aquí .
- Estamos anunciando nuestra intención de colaborar con otros en la industria en esta iniciativa. Nos estamos comunicando con otras empresas e individuos en el espacio sobre el financiamiento continuo de este programa de recompensas por delitos cometidos contra la comunidad de cripto. CEO de otras compañías en el espacio criptográfico, si desea unirse a nosotros en este proyecto, póngase en contacto lo antes posible.
Lamentamos profundamente que hayan ocurrido estos incidentes y cualquier dolor o estrés que hayan causado a nuestros clientes.
Mantenerlo seguro es la misión de Ledger y nos tomamos estos incidentes extremadamente en serio tanto personal como profesionalmente. Pronto lanzaremos una solución técnica que eliminará las 24 palabras como el pilar único de la seguridad de nuestras carteras de hardware y abrirá la puerta al seguro de fondos para clientes individuales.
Estos ataques solo han fortalecido nuestra determinación de crear y lanzar productos que lo mantengan a usted y a su criptografía seguros. Tenemos productos y servicios emocionantes, innovadores y seguros para anunciar en 2021. Ledger mantiene su compromiso de construir los productos más seguros y proteger el ecosistema criptográfico. Período.
POR FAVOR, tome este momento como un recordatorio para estar alerta y tomar todas las medidas posibles para protegerse. A medida que aumente el valor de su cripto y más personas se unan al ecosistema, esta seguirá siendo un área de enfoque.
Crypto Casey hace un gran trabajo al resumir la situación y cómo protegerse en este video y podcast . Por favor, tome todas las medidas necesarias para mantener su seguridad y la de su criptografía
Todos estamos aquí por la misma razón: creemos desde hace mucho tiempo en el valor y el futuro de las criptomonedas y los activos digitales. En Ledger hemos aprendido lecciones muy importantes y continuaremos trabajando duro para asegurarnos de que su confianza esté bien depositada en nosotros. Nos sentimos humildes. Como resultado, nos volvemos más fuertes y resistentes.
Sinceramente,
Pascal, Ian, Antoine, Matt, Charles.