رسالة من رئيس LEDGER التنفيذي – تحديث بشأن خرق البيانات الذي حدث في شهر يوليو. على الرغم من التسريب، فإن أصولك المشفرة آمنة.

عملاء Ledger الأعزاء،

كما تعلمون، تم استهداف Ledger بهجوم إلكتروني أدى إلى حدوث خرق بيانات في يوليو 2020. بالأمس، تم إبلاغنا بتفريغ محتوى لقاعدة بيانات عملاء Ledger على Raidforum. نعتقد أن هذه هي محتويات قاعدة بيانات التجارة الإلكترونية الخاصة بنا لشهر يونيو 2020.

في وقت وقوع الحادث، في يوليو، قمنا بالاستعانة بمنظمة أمنية خارجية لإجراء مراجعة للأدلة الجنائية الخاصة بالسجلات المتاحة. مراجعة السجلات مكننا من تأكيد سرقة ما يقرب من مليون عنوان بريد إلكتروني بالإضافة إلى 9,532 من المعلومات الشخصية الأكثر تفصيلاً (العناوين البريدية والاسم واللقب ورقم الهاتف) والتي تمكنا من تعريفها على وجه التحديد.

قاعدة البيانات التي تم إصدارها علناً أمس تُظهر أنه قد تم تسريب مجموعة فرعية أكبر من المعلومات التفصيلية، ما يقرب من 272,000 من المعلومات التفصيلية مثل العنوان البريدي واسم العائلة والاسم الأول ورقم الهاتف الخاصة بعملائنا. هذه التفاصيل غير متاحة في السجلات التي تمكنا من تحليلها. لطالما كانت الشفافية في عملياتنا واتصالاتنا أولوية دائمة بالنسبة لنا. هذا الشيء لم يتغير.

بعيداً عن الشائعات والتأويلات المتنوعة لهذا الحدث في الساعات القليلة الماضية، أود أن أذكر بعض الأمور البسيطة ولكن الأساسية لوضع حقيقة هذا الموقف في المنظور الصحيح.

باسم Ledger، نأسف بشدة لحدوث هذا الموقف. نحن ندرك أن العديد منكم قد تم استهدافه بواسطة حملات اصطياد المعلومات عبر البريد الإلكتروني والرسائل النصية القصيرة ومن الواضح أنها مصدر إزعاج لكم. أعلم أن هذا الخرق مخذل في أحسن الأحوال ومثير للغضب في أسوأها.

يظل هدفنا الأول هو تزويدكم بأفضل حماية وأمان لأصولك الرقمية. لنكون واضحين جداً: لا يوجد ترابط أو تأثير لخرق البيانات هذا على محافظ الأجهزة الخاصة بنا أو التطبيق أو أموالك. أصولك المشفرة آمنة. في حين أنه مؤسف للغاية، إلا أن هذا الاختراق يتعلق فقط بالمعلومات المرتبطة بالتجارة الإلكترونية.

Ledger تبذل كل ما في وسعها لتعزيز أمان بياناتنا بصورة أكبر: خلال الأشهر القليلة الماضية، كنا نحارب المحتالين معك ضد محاولتهم لسرقة الـ24 كلمة الخاصة بك. تم توثيق هذا على نطاق واسع على موقعنا والمدونة. يمكنك الآن متابعة حالة حملات اصطياد المعلومات المستمرة على صفحة واحدة: حملات اصطياد المعلومات المستمرة. لقد قمنا أيضاً بتوظيف مواهب من الطراز العالمي لينضموا إلى موظفي أمن تكنولوجيا المعلومات (CISO) الجدد لدينا في غضون أيام قليلة. ونحن نعمل على تعزيز جميع مواردنا وجهودنا الأمنية بصورة أكبر- برنامج المكافآت (bounty) و Dungeon وجميع الإجراءات التي ستسمح باختبار أنظمتنا 24/7. تم سرد جميع هذه الإجراءات هنا: ساحة المعركة ضد محاولات اصطياد المعلومات.

أعرب بعضكم أيضاً عن مخاوفهم بشأن الهجمات المادية المحتملة حيث تم تسريب بعض عناوين الشحن الخاصة بكم. نحن نتفهم المشاعر الناجمة عن هذا الموقف، ولكن من المهم الإقرار بأنه لا يوجد بأي حال طريقة للربط بين البيانات التي تم تسريبها والأموال الموجودة في محفظتك.

بغض النظر عن ذلك، فإن Ledger تم تصميمها مع وضع تهديد الهجوم المادي في الاعتبار، لأنه دائماً يمثل تهديداً محتملاً. توجد ميزات وطرق لحماية نفسك:

• إذا أدخلت كود PIN غير صحيح ثلاث مرات متتالية، فسيتم إعادة تعيين الجهاز بعد المحاولة الثالثة غير الصحيحة كإجراء أمني.
  (راجع: إعادة التعيين إلى إعدادات المصنع)

• إنكار مقبول: بدلاً من إدخال عبارة المرور الخاصة بك في كل مرة تحتاج إليها، يمكنك ربطها بكود PIN ثانٍ على جهازك Ledger. ينتج عن هذا وجود كودين PIN صالحين: أحدهما سيفتح مجموعة الحسابات العادية، والآخر يفتح مجموعة الحسابات البديلة.
  (راجع: Ledger 101 — الجزء 4 : مبادئ الأمان المتقدمة)

• وأخيراً، لا تحتفظ بورقة الاسترداد الخاصة بك في خزنة داخل المنزل. خزنة البنك أكثر أماناً بكثير. عدم تمكن الوصول المباشر إلى نسختك الاحتياطية يؤدي إلى زيادة مرونتك في مواجهة التهديدات المادية.
  (راجع: Ledger 101 — الجزء 3: أفضل الممارسات عند استخدام محافظ الأجهزة)

بغض النظر عن الأحداث الأخيرة، إذا كنت تحتفظ بقدر كبير من القيمة في منزلك، فإننا ندعوك لتقييم نظام الأمان لديك بانتظام، وتطبيق أفضل المعايير بالسوق دائماً. يمكنك العثور على الكثير من المعلومات ذات الصلة على https://www.ledger.com/academy و https://www.ledger.com/.

ومع ذلك، فإن معظم الهجمات التي ستواجهها هي عمليات احتيال عبر الإنترنت تحاول سرقة الـ24 كلمة الخاصة بك. لن نقول ذلك بما فيه الكفاية: الأمر الأهم هو ألا تشارك أبداً الـ24 كلمة الخاصة بك مع أي شخص. ولا حتى مع Ledger. فنحن لن نطلبها منك أبداً. كذلك، لن تتواصل معك Ledger أبداً عبر الرسائل النصية أو المكالمات الهاتفية. لقد سأل الكثيرون عما إذا كان ممكناً أن تتأثر أموالك إذا لم تشارك الـ24 كلمة الخاصة بك أبداً. سأكون واضحاً جداً: لا. أموالك في أمان.

لوضع الأمور في منظورها ولعدم التقليل من مسؤوليتنا، أصبح واضحاً أننا دخلنا عصراً ستزداد به الهجمات الإلكترونية أكثر فأكثر؛ لقد بلغت تلك الهجمات أعلى مستوياتها على الإطلاق في عام 2020 (World’s Biggest Data Breaches & Hacks [أكبر عمليات خرق البيانات وقرصنتها في العالم] — موقع Information is Beautiful). إنها مشكلة عالمية متنامية نواجهها جميعاً مع التسارع الرقمي. أصبح الاستثمار في مستقبل الأمن أكثر ضرورة وإلحاحاً من أي وقت مضى. هذه هي مهمة Ledger بالضبط: نحن نستثمر باستمرار لتحسين معايير الأمان. لهذا السبب أيضاً لن نقوم برد الأموال للعملاء كما اقترح البعض – بدلاً من ذلك، فإن أفضل الأشياء التي يمكننا تقديمه وأكثرها صدقاً هو تفانينا في أن نكون أفضل وأن نقوم بهذه الاستثمارات لترقية أمان المنتجات التي نوفرها لك باستمرار.

في هذه المعركة التي تستهدف وقف المحتالين #StopTheScammers، وبالروح المعنوية التي لطالما كانت لدينا ولدى مجتمعات الأصول المشفرة، نحتاج إلى أن تكون بجانبنا.

سنقدم التحديثات اللازمة بينما يستمر تحليلنا لمنح مجتمعنا الشفافية الكاملة بشأن التطورات المتعلقة بهذا الموضوع على https://www.ledger.com/phishing-campaigns-status.

إذا كانت لديك أي أسئلة أخرى، فيُرجى الاطلاع أولاً على الأسئلة الشائعة وإذا لم تجد إجابة على سؤالك هناك، فتواصل معنا عبر دعم العملاء.

خالص تحياتي،
باسكال غوتييه
الرئيس التنفيذي، Ledger

Version française

Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.

Chers clients Ledger,

Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d’une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce en date de juin 2020.

Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) – nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.

La base de données rendue publique hier montre qu’un plus grand sous-ensemble d’informations détaillées a été divulgué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les logs que nous avons pu analyser.

La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n’a pas changé.

Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j’aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situation.

Au nom de Ledger, je tiens à vous adresser nos profonds regrets pour cette situation. Nous savons que certains d’entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une nuisance. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d’entre vous.

Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.

Soyons clairs : vos crypto-monnaies sont en sécurité.

Cette fuite de données n’a aucun lien ni impact sur vos portefeuilles, l’application Ledger Live ou vos fonds.

Bien que cette situation soit sincèrement regrettable, cette fuite ne concerne que des informations liées au e-commerce.

Les équipes de Ledger s’engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : pendant les derniers mois, nous avons combattu avec vous les scammers (arnaqueurs) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre site et notre blog. Vous pouvez suivre le statut de ces actions sur les campagnes de phishing ici.

Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d’Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et efforts de sécurité : le Programme Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h/24, 7j/7. L’ensemble de nos actions sont listées ici.

Certains d’entre vous ont aussi exprimé des préoccupations à propos d’attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l’émotion créée par cette situation, il est important de comprendre qu’il n’existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.

Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d’attaques physiques, dans la mesure où cela constitue dans l’absolu un risque potentiel. Il existe toute une série de moyens de vous protéger :

• Si vous entrez un code PIN incorrect 3 fois de suite, le terminal se réinitialisera après la troisième tentative incorrecte par mesure de sécurité. (Voir: Reset to factory settings)
  
• Si au lieu d’entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Voir : Ledger 101 — Part 4: Advanced Security Principles)
  
• Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d’accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Voir: Ledger 101 — Part 3: Best Practices When Using a Hardware Wallet)

De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)

Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni téléphone.

Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair : NON. Vos fonds sont en sécurité.

Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes ; elles ont été au plus haut en 2020 (World’s Biggest Data Breaches & Hacks — Information is Beautiful). C’est un problème global croissant auquel nous devons tous faire face avec l’accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C’est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C’est pourquoi nous ne rembourserons pas l’achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous engager dans l’amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.

Dans ce combat #StopTheScammers, fidèle à notre état d’esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.

Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.

Pour toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.

Sincèrement,
Pascal Gauthier,
CEO de Ledger