أخبار الشركة, منشور المدونة | 08/06/2022

حول موضوع خرق بيانات التجارة الإلكترونية والتسويق في يوليو 2020 — رسالة من قيادة Ledger

أمان

ماذا حدث

في 14 يوليو 2020، أبلغنا أحد الباحثين المشاركين في برنامج المكافآت (bounty) لدينا باحتمال حدوث خرق للبيانات على موقع Ledger. قمنا على الفور بإصلاح هذا الخرق بعد تلقي بلاغ الباحث وأجرينا تحقيق داخلي. بعد أسبوع من تصحيح الخرق، اكتشفنا أنه قد تم استغلاله بصورة أكبر في 25 يونيو 2020، من قِبل طرف ثالث غير مصرح له والذي قام بالوصول إلى قاعدة بيانات التجارة الإلكترونية والتسويق لدينا – المُستخدمة لإرسال تأكيدات الطلبات والرسائل الإلكترونية الترويجية – والتي تحتوي معظمها على عناوين البريد الإلكتروني، ولكن بها مجموعة فرعية تتضمن أيضاً تفاصيل الاتصال والطلب مثل الاسم الأول واسم العائلة والعنوان البريدي وعنوان البريد الإلكتروني ورقم الهاتف. معلومات الدفع خاصتك وأموالك من الأصول المشفرة آمنة.

للأعلى قدر من الشفافية، نريد أن نشرح ما حدث. طرف ثالث غير مصرح له تمكَّن من الوصول إلى جزء من قاعدة بيانات التجارة الإلكترونية والتسويق من خلال مفتاح واجهة برمجة التطبيقات (API). تم إلغاء تنشيط مفتاح API ولم يعد الوصول إليه ممكناً.

ما المعلومات الشخصية التي تضمنها الاختراق؟

تضمنت المعلومات تفاصيل الاتصال والطلب. وهذا معظمه عبارة عن عناوين البريد الإلكتروني لعملائنا، حوالي 1 مليون عنوان. بإجراء مزيدٍ من التحقيق في الموقف، تمكنا أيضاً من إثبات أنه بالنسبة لمجموعة فرعية مؤلفة من 9500 عميل تعرض للكشف أيضاً بيانات مثل الاسم الأول أو اسم العائلة أو العنوان البريدي أو رقم الهاتف أو المنتجات المطلوبة. بسبب نطاق هذا الاختراق ومن منطلق التزامنا تجاه عملائنا، قررنا إبلاغ جميع عملائنا بهذا الموقف.

هؤلاء العملاء البالغ عددهم 9500 عميل الذين تعرضت معلوماتهم الشخصية التفصيلية للكشف سوف يتلقوا رسالة بريد إلكتروني مخصصة اليوم نشاركهم فيها المزيد من التفاصيل.

فيما يتعلق ببيانات التجارة الإلكترونية الخاصة بك، ليس هناك معلومات دفع ولا بيانات اعتماد (كلمات المرور) متضمنة في خرق البيانات هذا. لقد أثر على تفاصيل الاتصال الخاصة بعملائنا فقط.

خرق البيانات هذا ليس له صلة ولا تأثير مطلقاً على محافظ الأجهزة الخاصة بنا أو أمان تطبيق Ledger Live أو أصولك المشفرة، والذين هم بأمان ولم يكونوا أبداً بخطر. أنت الشخص الوحيد الذي يتحكم في هذه المعلومات ويمكنه الوصول إليها.

ما فعلناه وما نفعله من إجراءات

نظراً لاقتصار المشكلة على معلومات الاتصال الخاصة بالتجارة الإلكترونية والتسويق ولأننا تمكنا من إصلاحها على الفور، فقد أخذنا الوقت الكافي لإجراء تحقيق داخلي تفصيلي مع خبراء طرف ثالث قبل تحذير مجتمعنا.

في 17 يوليو، أبلغنا اللجنة الوطنية للمعلوماتية والحريات (CNIL)، والهيئة الفرنسية لحماية البيانات التي تضمن تطبيق قانون خصوصية البيانات على تجميع وتخزين واستخدام البيانات الشخصية. في 21 يوليو، تشاركنا مع Orange Cyberdefense لتقييم الأضرار المحتملة لخرق البيانات وتحديد الاختراقات المحتملة للبيانات.

بعد التحقيق الدقيق من جانب فريق الأمان لدينا وOrange Cyberdefense، انتهينا إلى أن قاعدة بيانات التجارة الإلكترونية والتسويق قد تم اختراقها. بحلول وقت هذا المنشور، جميع العملاء المتأثرين سيكونوا قد تلقوا بريداً إلكترونياً بهذا التحديث.

نحن نبحث جاهدين عن أدلة على بيع قاعدة البيانات على الإنترنت، ولم نعثر على أي منها حتى الآن. أجرينا أيضاً اختبار اختراق داخلي ونمضي قدماً في اختبار الاختراق الخارجي الذي كان مقرراً في الأصل إجراؤه في شهر سبتمبر.

نقوم بتوسيع نطاق برنامجنا الأمني والتنظيمي ليشمل التجارة الإلكترونية، والذي في الأصل كان يركز على منتجاتنا (محافظ الأجهزة والخزائن (Vault)). نحن نتخذ خطوات لتلبية المتطلبات المدرجة في ISO 27001.

نحن نتقدم بشكوى رسمية إلى السلطات لإجراء تحقيق كامل في الموقف.

لتحقيق أقصى قدر من الخصوصية لعملائنا، Ledger Live، التطبيق المصاحب لجهازك Nano، والذي لا يحتفظ بأي معلومات عن عملائنا، سيصبح نقطة التواصل الرئيسية للمعلومات حول تطورات المنتجات الجديدة بالإضافة إلى حسابات وسائل التواصل الاجتماعي الخاصة بنا: تويتر وفيسبوك وLinkedIn.

لاكتشاف سياسة الخصوصية التي وضعناها وفهم ما نفعله ببياناتك، يُرجى النقر هنا.

ما يمكنك فعله

نوصيك بتوخي الحذر — كن دائماً متنبه لمحاولات اصطياد المعلومات التي يقوم بها المحتالون. ببساطة، لن تطلب Ledger منك أبداً الـ24 كلمة الخاصة بك المكونة لعبارة الاسترداد. إذا تلقيت بريداً إلكترونياً يبدو أنه جاء من Ledger يطلب الـ24 كلمة الخاصة بك، فيجب عليك بالطبع اعتباره أنه محاولة اصطياد معلومات احتيالية.

بالإضافة لذلك، بينما نفعل كل ما في وسعنا، نقترح عليك زيارة قسم الأمان في أكاديمية ليدجر (Ledger Academy) لتثقيف نفسك حول مبادئ الأمان العامة وبالأخص مقالتنا حول هجوم التصيد.

نحن في غاية الأسف لوقوع هذا الحادث. نحن نأخذ الخصوصية على محمل الجد، ولقد اكتشفنا هذه المشكلة بفضل برنامج المكافآت لصيد الثغرات الأمنية (Bug Bounty)، وقمنا بإصلاحها على الفور. ولكن بغض النظر عن كل ما فعلناه لتجنب هذا الموقف وإصلاحه، فإننا نعتذر بصدق عن الإزعاج الذي قد يسببه لك هذا الأمر.

إذا كان لديك أي أسئلة، يمكنك قراءة الأسئلة الشائعة لدينا، وللحصول على أي معلومات إضافية، يمكنك التواصل مباشرةً مع دعم العملاء لدينا.

لاستكشاف سياسة الخصوصية لدينا وفهم ما نفعل ببياناتك، يُرجى النقر هنا.

كن على تواصل

يمكن العثور على الإعلانات في مدونتنا. تواصل إعلامي:
[email protected]