Ledger adiciona Bitcoin Bounty e nova segurança de dados após hack

Matt Johnson, o novo Chief Information Security Officer (CISO) da Ledger, não teve escolha a não ser cair no chão não apenas correndo, mas, bem, correndo. Sua primeira semana de trabalho envolveu examinar as consequências de um extenso despejo de dados de informações de clientes, entre outras áreas, como segurança de dados e aumento de ataques que viriam como um subproduto do bombeamento de Bitcoin .

Após o maior hack da história da empresa, e pouco mais de uma semana após o início do trabalho de Johnson, a empresa de carteira de hardware Ledger anunciou suas primeiras medidas para lidar com a violação de dados e garantir que tal hack T aconteça novamente.

Isso inclui trabalhar com a empresa de análise de blockchain Chainalysis para caçar os hackers, oferecendo 10 BTCrecompensa por informações que levem à prisão do hacker e criem uma revisão abrangente de quais informações a empresa mantém, onde elas são armazenadas e por quanto tempo são retidas.

Simultaneamente, Ledger revelou que, devido a agentes desonestos no parceiro de comércio eletrônico Shopify, 20.000 novos registros de clientes, incluindo e-mails, nomes, endereços postais e números de telefone, além de quais produtos foram pedidos, foram expostos.

O hack do Ledger

A Ledger revelou publicamente que as informações dos clientes foram comprometidas em julho de 2020. Na época, a empresa estimou9.500 os clientes foram afetados pelo hack. Nos meses seguintes, a CoinDesk documentou uma série de tentativas convincentes de phishing executadas pelos hackers, incluindo e-mails que imitava a correspondência oficial do Ledger e mensagens de texto.

Então, em dezembro de 2020, umdespejo de dados “expôs 1 milhão de endereços de e-mail e 272.000 nomes, endereços de correspondência e números de telefone pertencentes a pessoas que encomendaram os dispositivos da Ledger, que armazenam as chaves privadas para carteiras de Criptomoeda ”, conforme relatado pela CoinDesk . O número de pessoas afetadas foi muito maior do que a estimativa original de 9.500.

Uma onda de trocas de SIM foi relatada nos dias seguintes ao despejo de dados e alguns clientes começaram a receberextorsãoe-mails, incluindo ameaças de violência.

Em uma entrevista em dezembro passado, o CEO da Ledger, Pascal Gauthier, disse ao CoinDesk que o hack inicial foi, em parte, resultado da rápida expansão da empresa, e que ele e o novo CISO Matt Johnson anunciariam uma nova Política de dados e planejariam abordar melhor os vazamentos em janeiro.

Agora, a Ledger divulgou novas informações sobre o hack, revelando que ele provavelmente ocorreu, em parte, devido a agentes desonestos da Shopify, sua parceira de comércio eletrônico na época.

Leia Mais: Por que o Ledger manteve todos os dados do cliente em primeiro lugar

Agentes desonestos da Shopify

Em 23 de dezembro de 2020, a Ledger foi notificada pela Shopify sobre um incidente “envolvendo dados de comerciantes em que membros desonestos de sua equipe de suporte obtiveram registros transacionais de clientes, incluindo os da Ledger. O(s) agente(s) exportaram ilegalmente registros transacionais de clientes em abril e junho de 2020”, de acordo com uma postagem de blog.

A Shopify informou ao Ledger que a violação de dados fazia parte de sua Aviso Importante Setembro de 2020, que envolveu mais de 200 comerciantes. Até 21 de dezembro de 2020, porém, a Shopify não havia “descoberto que a Ledger também foi alvo desse ataque”. A Shopify disse à Ledger que continua investigando e que o problema foi relatado às autoridades policiais.

Em conjunto com a empresa forense Orange Cyberdefense, a Ledger examinou os 292.000 registros de dados roubados. Descobriu que, embora o banco de dados seja bem similar às informações pessoais expostas no ataque anterior, havia 20.000 novos registros de clientes comprometidos.

A empresa disse que notificou os clientes afetados em 13 de janeiro.

Segurança de dados do Ledger após o hack

Primeiro e mais importante, em uma postagem de blog, a Ledger reiterou que a empresa nunca pedirá aos clientes suas 24 palavras de recuperação, que podem ser usadas para acessar Bitcoin e carteiras de Cripto . Eles também enfatizaram que, desde que os clientes não compartilhassem essas palavras, seus dispositivos de hardware Ledger estariam seguros.

“Estamos anunciando mudanças na maneira como o Ledger coletará e manipulará os dados dos clientes: mantendo os dados pessoais pelo menor tempo legalmente possível, minimizando a exibição de dados pessoais em e-mails, movendo os dados necessários para um ambiente mais segregado o mais rápido possível e criando um canal seguro para comunicação individual com nossos clientes via Ledger Live”, os autores, incluindo o novo CISO Matt Johnson,escreveu.

Primeiro, a Ledger está mudando a maneira como armazena dados. Em uma entrevista, Johnson disse que, embora ele preferisse não ter que manter dados do usuário, a empresa é legalmente obrigada a fazê-lo por um período de tempo. Mas a Ledger está procurando ir além do que a Política de Privacidade é exigida pelo Regulamento Geral de Proteção de Dados da União Europeia, de acordo com Johnson.

"Ao ir além do GDPR, o que queremos dizer não é 'manter dados por mais tempo do que o GDPR exige', mas exatamente o oposto", disse Johnson. "Nosso objetivo é excluir dados como nome, endereço e número de telefone o mais rápido possível, mesmo que tenhamos permissão para KEEP los sob o GDPR. Alguns dados, no entanto, precisaremos KEEP para cumprir nossas obrigações legais, como requisitos contábeis ou fiscais, e esses dados serão segregados ainda mais para limitar seu acesso."

Leia Mais: Ataque de phishing ‘convincente’ tem como alvo usuários da carteira de hardware Ledger

Apagar, apagar, apagar

No futuro, a Ledger excluirá os dados de seu parceiro de comércio eletrônico, bem como moverá os dados do cliente para um banco de dados que T pode ser acessado pela internet assim que seu pedido for atendido, antes de excluí-lo assim que for legalmente possível.

A empresa também excluirá nomes, endereços e números de telefone dos e-mails de confirmação enviados aos clientes para que esses dados não sejam repassados por provedores de e-mail de comércio eletrônico de terceiros.

O e-mail e mídia socialserão usados apenas para mensagens de marketing e anúncios, as contas do Ledger Live estão sendo configuradas para comunicar informações técnicas e de segurança, aparentemente para evitar casos de golpes de phishing anteriores, nos quais os golpistas incentivavam os usuários do Ledger abaixar atualizações de segurança importantespor meio de e-mails aparentemente genuínos.

Por fim, Johnson fará uma revisão abrangente dos terceiros que manipulam os dados.

“Vou analisar e fazer um exame de cada um dos nossos terceiros com os quais temos que compartilhar ou ter a transmissão de dados como parte da cadeia de suprimentos”, disse Johnson em uma chamada do Zoom.

“Vamos analisar e garantir que todos os seus processos sejam apropriados e rigorosos, porque se estamos confiando nossos dados a eles, precisamos ter 100% de certeza de que eles estão realmente operando da melhor forma possível para atender a todos esses requisitos mínimos e, de preferência, incentivá-los a ir além disso.”

Uma recompensa de Bitcoin e aplicação da lei

A Ledger está trabalhando com várias agências de aplicação da lei, bem como com a empresa de análise de blockchain Chainalysis. Ela até mesmo criou uma recompensa de Bitcoin por informações relacionadas aos responsáveis ​​pelo hack.

“Estamos rastreando pistas para que possamos realmente recuperar, se isso for possível, fundos roubados se eles estiverem chegando em exchanges”, disse Johnson. “Queremos ter certeza de que todas as informações estão sendo obtidas de forma legal e compartilhadas diretamente com as agências de aplicação da lei.

Johnson disse que Ledger quer ter certeza de que toda a coleta de informações seja feita legalmente e "acima da média", com o objetivo de processar os indivíduos responsáveis.

Leia Mais: De SIM-Swaps a ameaças de invasão domiciliar, o vazamento do Ledger tem consequências em cascata

A postagem do blog qualificou a recompensa do Bitcoin , afirmando que o BTC será desembolsado a critério da Ledger e levará uma variedade de fatores em consideração. Ao ecoar os comentários de Johnson, estes incluem se a informação foi obtida legalmente, se é nova, quão substancial é e até onde iria para promover a investigação e o processo bem-sucedido.

A empresa também espera poder colaborar com outras empresas e indivíduos na indústria de Cripto para financiar essa recompensa. Ela prevê um fundo de recompensas de propósito geral, uma espécie de fundação para combater golpes e ataques de phishing em toda a indústria.

“Estamos tentando ativamente fazer coisas para proteger e melhorar esse ecossistema”, disse Johnson.

Protegendo seu Bitcoin mesmo quando a frase de recuperação é compartilhada

A equipe de engenharia do Ledger também está desenvolvendo um produto que “protegerá os fundos de um usuário, mesmo que ele tenha compartilhado sua semente de recuperação com um invasor”.

Jerôme De Tychey, chefe global de sucesso do cliente na Ledger, disse em um e-mail que a maioria dos ataques de phishing depende de fazer os proprietários do Ledger NANO revelarem sua frase de 24 palavras. Os golpistas aproveitam aquele momento oportuno de pânico em que os proprietários acreditam que seus fundos estão em risco. Lembrar de medidas de segurança cruciais naquele momento nem sempre é possível, especialmente quando os golpistas se passam por funcionários de suporte da Ledger.

“Estamos reconhecendo esse problema e em breve lançaremos uma solução técnica que removerá as 24 palavras como o único pilar da segurança de nossas carteiras de hardware e abrirá a porta para o seguro de fundos também”, disse De Tychey em um e-mail para a CoinDesk

Seguindo em frente, como e quando essas mudanças forem esclarecidas e implementadas contribuirão muito para recuperar a confiança dos usuários. Mas elas representam um passo à frente para a segurança do Ledger após uma extensa violação de dados, e podem funcionar para a comunidade Cripto de forma mais geral. Com o Bitcoin e outras altcoins crescendo, a segurança em torno de ferramentas e produtos Cripto é um processo iterativo.

“Sempre há essas novas avenidas que as pessoas tentam explorar”, disse Johnson. “Então temos que fazer essa reavaliação contínua e perguntar o que mais podemos fazer para tornar isso ainda mais seguro do que é hoje. As carteiras Ledger T foram comprometidas, então elas estão indo atrás dos elementos Human uma e outra e outra vez. Então o que mais podemos fazer? O que mais podemos fazer para ajudar a proteger o cliente final? Porque essas são pessoas reais.”

Atualizado: 13 de janeiro de 202 16:14 UTC: O valor da recompensa em Bitcoin foi alterado de 5 BTC para 10 BTC.

Atualizado: 13 de janeiro de 202 16:31 UTC: Mais informações sobre o escopo da violação da Shopify foram adicionadas.