Руководство Ladger сообщает об устранении уязвимости касающейся утечки данных в области электронной коммерции и маркетинга в июле 2020. оригинал здесь:
https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach Что произошло 14 июля 2020 года исследователь, участвующий в нашей программе
Баунти сообщил нам об обнаружении потенциальной угрозы утечки данных на веб-сайте Ledger.
Мы немедленно исправили эту уязвимость после получения отчета исследователя и провели внутреннее расследование.
Через неделю после исправления уязвимости мы обнаружили, что данную уязвимость использовала третья сторона 25 июня 2020 года для несанкционированного доступа к нашей базе данных электронной коммерции и
маркетинга, используемой для отправки подтверждений заказов и рекламных писем, состоящей в основном из адресов электронной почты, но с подмножеством, включающим также контактные данные и детали заказа,
такие как имя и фамилия, почтовый адрес, адрес электронной почты и номер телефона. Платежная информация и крипто-фонды оставались в безопасности.
Из соображений открытости, мы хотим объяснить, что произошло. Несанкционированный доступ третьей стороны к части нашей базы данных электронной коммерции и маркетинга был осуществлен через API-ключ.
Ключ API был деактивирован и больше не доступен.
Какая личная информация была скомпрометированы? Были скомпрометированы сведения о контактах и заказах. Это в основном адрес электронной почты наших клиентов, около 1000000 адресов. В дальнейшем для изучения ситуации мы также смогли установить, что у 9500
клиентов стали также доступны данные, такие как имя и фамилия, почтовый адрес, номер телефона или заказанные ими продукты.
В связи с масштабами этой утечки и приверженности компании нашим клиентам, мы решили информировать всех наших клиентов об этой ситуации.
Что касается ваших данных электронной коммерции, то ни платежная информация, ни учетные данные (пароли), не были затронуты. Инцендент повлиял исключительно на контактные данные наших клиентов.
Эта утечка данных не имеет никакой связи и никакого влияния на наши аппаратные кошельки, ни на безопасность Ledger Live и ваши криптоактивы, которые являются безопасными и никогда не были в опасности.
Вы единственный, кто контролирует эту информацию и может получить доступ к этой информации.
Что мы сделали и что мы делаем Поскольку проблема была ограничена контактной информацией в отношении электронной коммерции и маркетинга, и мы смогли немедленно исправить ее, мы потратили время на детальное внутреннее расследование со
сторонними экспертами, прежде чем предупредить наше сообщество.
17 июля мы уведомили CNIL, Французское управление по защите данных, которое обеспечивает применение закона о конфиденциальности данных в отношении сбора, хранения и использования персональных данных. 21
июля мы установили партнерские отношения с
Orange Cyberdefense для оценки потенциального ущерба от взлома данных и выявления потенциальных утечек данных.
После тщательного расследования, проведенного нашей службой безопасности и Orange Cyberdefense, мы можем сделать вывод, что база данных электронной коммерции и маркетинга была взломана. Ко времени этой
публикации все затронутые клиенты получат электронное письмо с этим обновлением.
Мы активно следим за доказательствами того, что база данных продается в Интернете, и пока не нашли ни одного. Мы также провели внутреннее тестирование на проникновение и ускоряем начало внешнего тестирования
на проникновение, которое изначально планировалось на сентябрь.
Мы расширяем сферу электронной коммерции в рамках нашей программы обеспечения безопасности и организации, изначально фокусируясь на наших продуктах (HW & Vault). Мы предпринимаем шаги для удовлетворения
требований, перечисленных в ISO 27001.
Мы подаем официальную жалобу в органы власти для полного расследования ситуации.
Чтобы максимизировать конфиденциальность наших клиентов, Ledger Live, приложение-компаньон для вашего Nano, которое не хранит никакой информации о наших клиентах, станет основным контактным лицом для
получения информации о новых разработках продуктов, и о наших учетных записях в социальных сетях:
Twitter ,
Facebook и
LinkedIn.
Для ознакомления с нашей Политикой конфиденциальности и понимания того, что мы делаем с вашими данными, нажмите
здесь Что можешь сделать ты Мы рекомендуем вам соблюдать осторожность - всегда помните о попытках фишинга со стороны злоумышленников. Проще говоря, Ledger никогда не спросит вас о 24 словах вашей фразы восстановления .
Если вы получили электронное письмо, которое, похоже, пришло от Леджера с просьбой указать 24 слова, вы обязательно должны считать это попыткой фишинга.
Кроме того, хотя мы делаем все возможное, мы предлагаем вам посетить раздел
академии безопасности Ledger, чтобы ознакомиться с общими принципами безопасности, а
точнее - с нашей статьей о
фишинговых атаках.
Мы очень сожалеем об этом инциденте. Мы очень серьезно относимся к конфиденциальности, мы обнаружили эту проблему благодаря нашей собственной программе баунти-багов и сразу же исправили ее.
Но независимо от всего, что мы сделали, чтобы избежать и исправить эту ситуацию, мы приносим искренние извинения за неудобства, которые может причинить вам этот вопрос.
Если у вас есть какие-либо вопросы, вы можете прочитать наши
часто задаваемые вопросы, а для получения дополнительной информации вы можете
напрямую связаться с нашей
службой поддержки.
