Ledger добавляет Bitcoin Bounty и новую защиту данных после взлома

Мэтт Джонсон, новый директор по информационной безопасности (CISO) Ledger, не имел иного выбора, кроме как приступить к работе не просто бегом, а, ну, спринтом. Его первая неделя работы включала в себя тщательное изучение последствий обширного сброса данных о клиентах, среди других областей, таких как безопасность данных и возросшие атаки, которые стали бы побочным продуктом накачки Bitcoin .

После крупнейшего взлома в истории компании и чуть больше чем через неделю после начала работы Джонсона компания Ledger, выпускающая аппаратные кошельки, объявила о первых мерах по устранению утечки данных и обеспечению того, чтобы подобные взломы T повторились.

Они включают сотрудничество с аналитической компанией Chainalysis , занимающейся блокчейном, для поиска хакеров, предлагая 10 BTCвознаграждение за информацию, которая приведет к аресту хакера и проведению всестороннего анализа того, какую информацию хранит компания, где она хранится и как долго она хранится.

В то же время Ledger сообщил, что из-за мошенников из партнера по электронной коммерции Shopify были раскрыты 20 000 новых записей о клиентах, включая адреса электронной почты, имена, почтовые адреса и номера телефонов, а также сведения о том, какие продукты были заказаны.

Взлом Ledger

Ledger публично сообщила, что информация о клиентах была скомпрометирована в июле 2020 года. На тот момент компания подсчитала, что9500 клиенты пострадали от взлома. В последующие месяцы CoinDesk задокументировал ряд убедительных попыток фишинга, предпринятых хакерами, включая электронные письма, которые имитировал официальную переписку и текстовые сообщения Ledger.

Затем, в декабре 2020 года,сброс данных «раскрыли 1 миллион адресов электронной почты и 272 000 имен, почтовых адресов и телефонных номеров, принадлежащих людям, заказавшим устройства Ledger, в которых хранятся закрытые ключи для Криптовалюта кошельков», — сообщает CoinDesk . Число пострадавших оказалось намного выше первоначальной оценки 9500.

В течение нескольких дней после сброса данных было зафиксировано множество случаев подмены SIM-карт, и некоторые клиенты начали получатьвымогательствоэлектронные письма, в том числе с угрозами насилия.

В интервью в декабре прошлого года генеральный директор Ledger Паскаль Готье рассказал CoinDesk , что первоначальный взлом был отчасти результатом быстрого масштабирования компании и что он и новый директор по информационной безопасности Мэтт Джонсон объявят о новой Политика в отношении данных и планируют дальнейшие действия по устранению утечек в январе.

Теперь Ledger опубликовал новую информацию о взломе, показав, что он, вероятно, был частично связан с действиями мошенников из Shopify, его партнера по электронной коммерции на тот момент.

Читать дальше: Почему Ledger изначально хранил все эти данные о клиентах

Мошеннические агенты Shopify

23 декабря 2020 года Shopify уведомил Ledger об инциденте, «связанном с данными торговцев, в ходе которого недобросовестные члены их службы поддержки получили записи о транзакциях клиентов, включая Ledger. Агент(ы) незаконно экспортировали записи о транзакциях клиентов в апреле и июне 2020 года», — говорится в сообщении в блоге.

Shopify сообщил Ledger, что утечка данных была частью Раскрытие информации в Сентябрь 2020 г., в котором участвовало более 200 торговцев. Однако до 21 декабря 2020 года Shopify не «обнаружил, что Ledger также подвергся этой атаке». Shopify сообщил Ledger, что продолжает расследование и что проблема была передана в правоохранительные органы.

Совместно с криминалистической фирмой Orange Cyberdefense компания Ledger изучила 292 000 украденных записей данных. Она обнаружила, что, хотя база данных весьма похожа на персональную информацию, раскрытую в предыдущей атаке, было скомпрометировано 20 000 новых записей клиентов.

Компания заявила, что уведомила клиентов, которых коснулась эта проблема, 13 января.

Безопасность данных Ledger после взлома

Прежде всего, в сообщении в блоге Ledger повторил, что компания никогда не будет спрашивать у клиентов их 24 слова восстановления, которые могут быть использованы для доступа к Bitcoin и Криптo . Они также подчеркнули, что до тех пор, пока клиенты не поделились этими словами, их аппаратные устройства Ledger были в безопасности.

«Мы объявляем об изменениях в том, как Ledger будет собирать и обрабатывать данные клиентов: хранение персональных данных в течение максимально возможного законом срока, минимизация отображения персональных данных в электронных письмах, перемещение необходимых данных в более изолированную среду как можно скорее и создание безопасного канала для общения 1:1 с нашими клиентами через Ledger Live», — сообщают авторы, включая нового директора по информационной безопасности Мэтта Джонсона.написал.

Во-первых, Ledger меняет способ хранения данных. В интервью Джонсон сказал, что, хотя он предпочел бы вообще не хранить пользовательские данные, компания юридически обязана делать это в течение определенного периода времени. Но Ledger стремится выйти за рамки требований Политика конфиденциальности , установленных Общим регламентом по защите данных Европейского союза, по словам Джонсона.

«Под выходом за рамки GDPR мы подразумеваем не «хранение данных дольше, чем того требует GDPR», а совсем наоборот», — сказал Джонсон. «Наша цель — как можно скорее удалить такие данные, как имя, адрес и номер телефона, даже если нам будет разрешено KEEP их в соответствии с GDPR. Однако некоторые данные нам необходимо будет KEEP для выполнения наших юридических обязательств, таких как требования к бухгалтерскому учету или налогообложению, и эти данные будут дополнительно изолированы для ограничения доступа к ним».

Читать дальше: «Убедительная» фишинговая атака нацелена на пользователей аппаратного кошелька Ledger

Удалить, удалить, удалить

В дальнейшем Ledger удалит данные у своего партнера по электронной коммерции, а также переместит данные клиентов в базу данных, к которой T получить доступ из Интернета, сразу после выполнения вашего заказа, а затем удалит их, как только это станет юридически возможным.

Компания также удалит имена, адреса и номера телефонов из писем-подтверждений, отправляемых клиентам, чтобы эти данные не передавались через сторонних поставщиков услуг электронной коммерции.

Theэлектронная почта и социальные медиабудут использоваться только для маркетинговых сообщений и объявлений, учетные записи Ledger Live создаются для передачи технической и безопасной информации, по-видимому, для того, чтобы избежать случаев фишинга, которые были ранее, когда мошенники призывали пользователей Ledgerзагрузить важные обновления безопасностис помощью подлинных на вид электронных писем.

Наконец, Джонсон проведет комплексную проверку третьих лиц, обрабатывающих данные.

«Я проведу проверку каждой из наших третьих сторон, с которыми нам приходится делиться или которым приходится передавать данные в рамках цепочки поставок», — сказал Джонсон во время звонка по Zoom.

«Мы проверим и убедимся, что все их процессы являются надлежащими и строгими, поскольку, если мы доверяем им наши данные, мы должны быть на 100% уверены, что они действительно работают в меру своих возможностей, чтобы выполнить все эти минимальные требования, и желательно подтолкнуть их выйти за их рамки».

Награда в виде Bitcoin и правоохранительные органы

Ledger сотрудничает с различными правоохранительными органами, а также с аналитической фирмой блокчейна Chainalysis. Она даже установила вознаграждение в Bitcoin за информацию, связанную с ответственными за взлом.

«Мы отслеживаем зацепки, чтобы мы могли реально вернуть, если это вообще возможно, украденные средства, если они попадают на биржи», — сказал Джонсон. «Мы хотим убедиться, что вся информация получена законным путем и передана напрямую правоохранительным органам.

Джонсон заявил, что Ledger хочет убедиться, что весь сбор информации осуществляется законно и «честно» с целью привлечения к ответственности виновных лиц.

Читать дальше: От подмены SIM-карт до угроз вторжения в жилище: утечка Ledger имеет каскадные последствия

В сообщении в блоге оговаривается вознаграждение в Bitcoin , и говорится, что BTC будут выплачены по усмотрению Ledger и будут учитываться различные факторы. Вслед за комментариями Джонсона, они включают в себя: была ли информация получена законным путем, является ли она новой, насколько она существенна и насколько она поможет расследованию и успешному судебному преследованию.

Компания также надеется, что сможет сотрудничать с другими компаниями и лицами в Криптo для финансирования этой премии. Она предусматривает создание фонда премий общего назначения, своего рода фонда для борьбы с мошенничеством и фишинговыми атаками в отрасли.

«Мы активно пытаемся сделать что-то для защиты и улучшения этой экосистемы», — сказал Джонсон.

Защита ваших Bitcoin даже при передаче фразы восстановления

Команда инженеров Ledger также разрабатывает продукт, который «защитит средства пользователя, даже если он поделился своим ключом восстановления со злоумышленником».

Жером Де Тише, руководитель отдела по работе с клиентами Ledger, в электронном письме сообщил, что большинство фишинговых атак основаны на том, что владельцы Ledger NANO раскрывают свою фразу из 24 слов. Мошенники пользуются этим удобным моментом паники, когда владельцы считают, что их средства находятся под угрозой. Помнить о важных мерах безопасности в этот момент не всегда возможно, особенно когда мошенники выдают себя за сотрудников службы поддержки Ledger.

«Мы признаем эту проблему и вскоре выпустим техническое решение, которое уберет 24 слова как единственный столп безопасности наших аппаратных кошельков, а также откроет дверь к страхованию средств», — сказал Де Тичи в электронном письме CoinDesk.

В дальнейшем, то, как и когда эти изменения будут прояснены и внедрены, будет иметь большое значение для восстановления доверия пользователей. Но они представляют собой шаг вперед для безопасности Ledger после масштабной утечки данных и могут сработать для Криптo в целом. С бумом Bitcoin и других альткоинов безопасность вокруг Криптo и продуктов является итеративным процессом.

«Всегда есть эти новые пути, которые люди пытаются использовать», — сказал Джонсон. «Поэтому мы должны проводить эту постоянную переоценку и спрашивать, что еще мы можем сделать, чтобы сделать это еще более безопасным, чем сейчас. Кошельки Ledger T были скомпрометированы, поэтому они снова и снова преследуют Human фактор. Так что еще мы можем сделать? Что еще мы можем сделать, чтобы помочь защитить конечного потребителя? Потому что это реальные люди».

Обновлено: 13 января 202 г. 16:14 UTC: Сумма вознаграждения в Bitcoin была изменена с 5 BTC до 10 BTC.

Обновлено: 13 января 202 г. 16:31 UTC: Добавлена дополнительная информация о масштабах взлома Shopify.