Ledger додає Bitcoin баунті та новий захист даних після злому

Метт Джонсон, новий директор з інформаційної безпеки Леджера (CISO), не мав іншого вибору, окрім як кинутись на землю не просто бігом, а й спринтом. Його перший тиждень роботи полягав у ретельному вивченні наслідків великого дампу інформації про клієнтів, серед інших сфер, таких як безпека даних і посилення атак, які виникли як побічний продукт перекачування Bitcoin .

Після найбільшого злому в історії компанії та трохи більше тижня після того, як Джонсон почав працювати, компанія Ledger, що займається виробництвом апаратних гаманців, оголосила про свої перші заходи для усунення витоку даних і запобігання T подібного злому.

До них належить співпраця з аналітичною фірмою блокчейну Chainalysis для полювання на хакерів, пропонуючи 10 BTC винагорода за інформацію, яка призведе до арешту хакера та створення всебічного огляду того, яку інформацію зберігає компанія, де вона зберігається та як довго зберігається.

Водночас Леджер виявив, що через шахраїв партнера електронної комерції Shopify було розкрито 20 000 нових записів про клієнтів, включаючи електронні адреси, імена, поштові адреси та номери телефонів, а також інформацію про те, які продукти були замовлені.

Злом Леджера

Ledger публічно оголосив, що інформацію про клієнтів було зламано в липні 2020 року. Тоді компанія оцінила 9500 клієнти постраждали від злому. Протягом наступних місяців CoinDesk задокументував низку переконливих спроб фішингу, здійснених хакерами, включаючи електронні листи, які імітував офіційне листування та текстові повідомлення Ledger.

Потім, у грудні 2020 року, а дамп даних «Викрив 1 мільйон адрес електронної пошти та 272 000 імен, поштових адрес і номерів телефонів, що належали людям, які замовили пристрої Ledger, які зберігають приватні ключі для Криптовалюта гаманців», — повідомляє CoinDesk . Кількість постраждалих виявилася набагато вищою за початкову оцінку 9500.

Повідомлялося про масову заміну SIM-карт протягом кількох днів після дампа даних, і деякі клієнти почали отримувати вимагання електронні листи, включаючи погрози насильства.

В інтерв’ю в грудні минулого року генеральний директор Ledger Паскаль Готьє сказав CoinDesk , що початковий злом був частково результатом швидкого масштабування компанії, і що він і майбутній керівник CISO Метт Джонсон оголосить нову Політика щодо даних і планують усунути витоки в січні.

Тепер Ledger оприлюднив нову інформацію про злом, показавши, що він, ймовірно, частково стався через шахраїв із Shopify, його партнера з електронної комерції на той час.

Читайте також: Чому Ledger взагалі зберіг усі ці дані клієнтів

Шахрайські агенти Shopify

23 грудня 2020 року Ledger отримав сповіщення від Shopify про інцидент, «пов’язаний із даними продавця, під час якого нечесний член(и) їх команди підтримки отримав записи про транзакції клієнтів, у тому числі Ledger. Згідно з повідомленням у блозі, агент(и) незаконно експортував записи про транзакції клієнтів у квітні та червні 2020 року».

Shopify повідомив Леджеру, що порушення даних було частиною його Повідомлення Вересень 2020 року, в якому брали участь понад 200 купців. Проте до 21 грудня 2020 року Shopify не «виявив, що Ledger також був ціллю цієї атаки». Shopify повідомив Ledger, що продовжує розслідування, і що про проблему було повідомлено в правоохоронні органи.

У співпраці з криміналістичною фірмою Orange Cyberdefense Леджер дослідив 292 000 викрадених записів даних. Було виявлено, що хоча база даних дуже схожа на особисту інформацію, викриту під час попередньої атаки, було скомпрометовано 20 000 нових записів клієнтів.

Компанія заявила, що повідомила постраждалих клієнтів 13 січня.

Безпека даних Ledger після злому

Перш за все, у дописі в блозі Леджер повторив, що компанія ніколи не запитуватиме у клієнтів їхні 24 слова відновлення, які можна використовувати для доступу до Bitcoin і Крипто гаманців. Вони також підкреслили, що поки клієнти не поділилися цими словами, їхні апаратні пристрої Ledger були в безпеці.

«Ми оголошуємо про зміни в тому, як Ledger буде збирати та обробляти дані клієнтів: зберігати особисті дані протягом максимально короткого періоду часу, як це передбачено законодавством, зводити до мінімуму відображення особистих даних в електронних листах, переміщувати необхідні дані в подальше відокремлене середовище якнайшвидше та створювати захищений канал для спілкування 1:1 з нашими клієнтами через Ledger Live», — автори, у тому числі новий CISO Метт Джонсон. написав.

По-перше, Ledger змінює спосіб зберігання даних. В одному з інтерв’ю Джонсон сказав, що, хоча він взагалі не хотів би зберігати дані користувачів, компанія зобов’язана юридично це робити протягом певного періоду часу. Але, за словами Джонсона, Ledger прагне вийти за рамки Політика конфіденційності , яку вимагає Загальний регламент захисту даних Європейського Союзу.

«Виходячи за рамки GDPR, ми маємо на увазі не «зберігання даних довше, ніж вимагає GDPR», а навпаки», — сказав Джонсон. «Наша мета — якнайшвидше видалити такі дані, як ім’я, адреса та номер телефону, навіть якщо нам буде дозволено KEEP їх відповідно до GDPR. Однак деякі дані нам потрібно буде KEEP для виконання наших юридичних зобов’язань, таких як вимоги щодо бухгалтерського обліку чи оподаткування, і ці дані будуть додатково відокремлені, щоб обмежити доступ до них».

Читайте також: «Переконлива» фішингова атака націлена на користувачів апаратного гаманця Ledger

Видалити, видалити, видалити

У подальшому Ledger видалить дані зі свого партнера з електронної комерції, а також перемістить дані клієнтів до бази даних, до якої T отримати доступ з Інтернету, щойно ваше замовлення буде виконано, а потім видалить їх, як тільки вони зможуть це зробити згідно з законом.

Компанія також видалятиме імена, адреси та номери телефонів із електронних листів із підтвердженням, надісланих клієнтам, щоб ці дані не передавалися через сторонніх постачальників електронної комерції.

The електронною поштою і соціальні мережі використовуватимуться лише для маркетингових повідомлень і оголошень, облікові записи Ledger Live налаштовуються для передачі технічної інформації та інформації про безпеку, мабуть, щоб уникнути випадків попереднього фішингу, коли шахраї заохочували користувачів Ledger завантажити важливі оновлення безпеки через справжні електронні листи.

Нарешті, Джонсон проведе комплексний аналіз третіх сторін, які обробляють дані.

«Я проведу перевірку кожної з наших третіх сторін, з якою ми маємо ділитися або передавати дані в рамках ланцюга поставок», — сказав Джонсон у дзвінку Zoom.

«Ми перевіримо та переконаємося, що всі їхні процеси належні та суворі, тому що, якщо ми довіряємо їм свої дані, ми маємо бути на 100% впевнені, що вони справді працюють якнайкраще, щоб відповідати всім цим мінімальним вимогам, і, бажано, змушувати їх виходити за межі цього».

Нагорода за Bitcoin та правоохоронні органи

Леджер співпрацює з різними правоохоронними органами, а також з аналітичною компанією Chainalysis, що займається аналізом блокчейнів. Він навіть встановив винагороду в Bitcoin за інформацію, пов’язану з тими, хто відповідальний за злом.

«Ми збираємо потенційні клієнти, щоб фактично мати можливість відновити, якщо це взагалі можливо, вкрадені кошти, якщо вони потрапили на біржі», — сказав Джонсон. «Ми хочемо переконатися, що вся інформація отримана законним шляхом і передається безпосередньо правоохоронним органам.

Джонсон сказав, що Леджер хоче переконатися, що весь збір інформації здійснюється законно та «надзвичайно» з метою притягнення до відповідальності винних осіб.

Читайте також: Від заміни SIM-карти до загроз домашнього вторгнення, витік Ledger має каскадні наслідки

Повідомлення в блозі кваліфікувало Bitcoin баунті, заявивши, що BTC буде виплачуватися на розсуд Ledger і враховуватиме низку факторів. Подібно до коментарів Джонсона, це стосується того, чи була інформація отримана законним шляхом, чи є вона новою, наскільки вона суттєва та наскільки далеко вона зайде для подальшого розслідування та успішного переслідування.

Компанія також сподівається, що зможе співпрацювати з іншими компаніями та окремими особами в Крипто для фінансування цієї премії. Він передбачає фонд винагороди загального призначення, свого роду основу для боротьби з шахрайством і фішинговими атаками в галузі.

«Ми активно намагаємося зробити щось, щоб захистити та покращити цю екосистему», — сказав Джонсон.

Захист ваших Bitcoin , навіть якщо надіслано фразу відновлення

Команда інженерів Ledger також розробляє продукт, який «захистить кошти користувача, навіть якщо він поділився своїм початковим кодом відновлення зі зловмисником».

Жером де Тиші, глобальний керівник відділу успіху клієнтів Ledger, сказав в електронному листі, що більшість фішингових атак покладаються на те, щоб власники Ledger NANO розкрили свою фразу з 24 слів. Шахраї користуються сприятливим моментом паніки, коли власники вважають, що їхні кошти під загрозою. Пам’ятати про важливі заходи безпеки в цей момент не завжди можливо, особливо коли шахраї видають себе за персонал служби підтримки Ledger.

«Ми визнаємо цю проблему і незабаром випустимо технічне рішення, яке усуне 24 слова як єдиний стовп безпеки наших апаратних гаманців, а також відкриє двері для страхування коштів», — сказав Де Тичі в електронному листі CoinDesk.

У майбутньому, як і коли ці зміни будуть уточнені та впроваджені, багато в чому допоможе відновити довіру користувачів. Але вони являють собою крок вперед для безпеки Ledger після великого витоку даних і можуть працювати для Крипто в цілому. Оскільки Bitcoin та інші альткойни процвітають, безпека Крипто і продуктів є ітеративним процесом.

«Завжди є нові шляхи, якими люди намагаються скористатися», — сказав Джонсон. "Тож ми маємо проводити цю постійну переоцінку та запитувати, що ще ми можемо зробити, щоб зробити це ще більш безпечним, ніж те, що є сьогодні. Гаманці Ledger T були скомпрометовані, тому вони знову і знову переслідують Human елементи. Отже, що ще ми можемо зробити? Що ще ми можемо зробити, щоб захистити кінцевого клієнта? Тому що це реальні люди".

Оновлено: 13 січня 2022 р. 16:14 UTC: Розмір винагороди Bitcoin змінено з 5 BTC на 10 BTC.

Оновлено: 13 січня 2022 р. 16:31 UTC: Додано більше інформації про масштаби порушення Shopify.