Misc. | 03/26/2021

Datenpannen-AMA, Zusammenfassung: Entmystifizierung der Panne mit Matt Johnson, CISO von Ledger

English | Français | Español | Deutsch

A person wearing glasses  Description automatically generated with medium confidence
Matt Johnson, Chief Information Security Officer von Ledger

Matt ist ein ehemaliger Beamter der australischen Bundespolizei. Er ist ein ausgewiesener Experte für physische und Cybersecurity und war unter anderem als Group Chief Security Officer bei Ingenico und Director of Cybersecurity bei Visa tätig. Nach der Datenpanne und nur kurze Zeit nachdem Johnson seine Tätigkeit aufgenommen hatte, hat Ledger erste umfangreiche Maßnahmen ergriffen, um die Situation in den Griff zu bekommen und sicherzustellen, dass sich ein solcher Hackerangriff nicht wiederholt. Dieses AMA war seine erste Gelegenheit, seine Vision für die Zukunft mit Ihnen zu teilen und Ihre Fragen zu beantworten. Hier ist unsere Zusammenfassung.

Bevor wir anfangen

Zuallererst bedauern wir als Unternehmen zutiefst, dass es zu diesen Vorfällen gekommen ist und dass sie bei Ihnen Ärger oder Stress verursacht haben. Ihre Sicherheit zu gewährleisten ist die Maxime von Ledger und wir nehmen diese Vorfälle sowohl von menschlicher als auch von professioneller Warte aus sehr ernst. Zu unserem Selbstverständnis gehört es darüber hinaus, transparent zu kommunizieren und auf Ihre Anliegen einzugehen. Aus diesem Grund haben wir diese Veranstaltung organisiert, um Ihnen Antworten zu geben. Für diejenigen unter Ihnen, die an unserem AMA teilgenommen haben, möchten wir uns für Ihre Anwesenheit und Teilnahme bedanken. 

Zielgerichtete Angreifer werden immer wieder versuchen, über verschiedene Wege auf die Daten von Ledger zuzugreifen, und wir müssen unsere Sicherheitsvorkehrungen weiter verstärken. Dieses Problem betrifft die gesamte Branche und wir müssen es gemeinsam bekämpfen. Ledger wird seinen Beitrag dazu verstärken und verdoppeln. Heute sind wir hier, um die Situation zu entmystifizieren und Ihnen, unseren Community-Mitgliedern, ein umfassendes Bild von der Lage zu vermitteln. 

Wenn Sie mehr darüber erfahren möchten, was passiert ist, finden Sie hier eine Zusammenfassung.

Unser Aktionsplan für die Zukunft

Datenpannen und Phishing-Angriffe sind ein zunehmendes Problem für die gesamte Branche, und wir tun alles, um künftigen Bedrohungen zu begegnen. Wir beschäftigen uns täglich mit diesem Problem und möchten Ihnen heute die ersten Teile unseres neuen Plans vorstellen, der darauf abzielt, den Schutz unserer Kunden zu verbessern.

  • Wir kündigen Änderungen in der Art und Weise an, wie Ledger mit Kundendaten umgeht: Unser Ziel ist es, Ihre persönlichen Daten wie Name, Adresse und Telefonnummer so schnell wie möglich vollständig zu löschen. Wir streben an, diese Daten so kurz wie möglich zu halten, um unseren Verpflichtungen gegenüber unseren Kunden (z.  B. Abwicklung Ihrer Bestellung) und den Gesetzen (z. B. Buchhaltung und gesetzlichen Verpflichtungen) nachzukommen. Dies gilt auch für Drittanbieter. Daten, die aufbewahrt werden müssen, werden so bald wie möglich in eine zusätzlich segregierte Umgebung verschoben.
  • Wir werden ein Messaging-Modell implementieren, über das proaktiv wichtige Sicherheits- und technische Informationen über Ledger Live übertragen werden. E-Mails und soziale Medien werden NUR für die Übertragung von Produktnachrichten und Ankündigungen verwendet.
  • Wir werden eine detaillierte Neubewertung aller unserer Lieferanten und Partner durchführen, um sicherzustellen, dass sie weiterhin den höchsten Standards entsprechen.

Ledger widmet zahlreiche zusätzliche Ressourcen, um die Verantwortlichen für die Angriffe auf Ledger und Ledger-Kunden zu identifizieren und zu verfolgen, einschließlich eines Belohungsfonds von 10 BTC für Informationen, die zu einer erfolgreichen Verhaftung und Strafverfolgung führen. Wir hoffen, dass andere Unternehmen dem Belohnungsfonds-Programm beitreten und dazu beitragen, die Krypto-Community sicherer zu machen.

Sie haben gefragt, wir haben geantwortet 

1 – Wurden meine Gelder und/oder Zahlungsinformationen kompromittiert? 

Während dieser Angriffe bleiben die Ledger-Hardware-Wallets geschützt und Ihre Kryptowährung sicher, solange Sie Ihre 24 Wörter niemals mit jemandem teilen (insbesondere mit jemandem, der vorgibt, Ledger zu sein – Ledger wird Sie niemals nach diesen Informationen fragen). Darüber hinaus speichert Ledger keine Kreditkarteninformationen, sodass die Datenpanne Ihre Zahlungsdaten nicht betrifft. 

2 – Ich habe Anrufe/SMS mit physischen Bedrohungen erhalten. Was soll ich tun?

Zunächst einmal entschuldigen wir uns für diese ziemlich stressige Situation. Wir wissen, was Sie durchmachen, und so beängstigend es auch sein mag, wir fordern Sie auf, nicht in Panik zu geraten. Betrüger versuchen normalerweise, ihre Gewinne mit dem geringstmöglichen Risiko zu maximieren. Daher haben wir keine Berichte über physische Angriffe erhalten. Die Betrüger werden immer nach dem am einfachsten anzugreifenden Element suchen. Sie werden versuchen, ein Gefühl von Dringlichkeit und Panik zu erzeugen, es zeitkritisch oder besonders dringend zu machen, mit Ihren Ängsten zu spielen und alles zu tun, um Sie davon zu überzeugen, Ihre 24 Wörter an sie zu übergeben.

Bitte bleiben Sie ruhig und erfassen Sie die Phishing-Versuche und erstatten Sie Anzeige bei Ihrer örtlichen Polizei. Dann senden Sie uns das Aktenzeichen Ihrer Anzeige. Ledger trägt eine beträchtliche Menge an Meldungen von Kunden zusammen, um sie zu verarbeiten und an spezialisierte Strafverfolgungsbehörden zu übermitteln. Wenn wir die Verantwortlichen finden wollen, brauchen wir Ihre Hilfe. Kontaktieren Sie uns über unser Online-Kontaktformular oder tweeten Sie an @Ledger_Support auf Twitter. 

3 – Ich habe keine E-Mail von Ledger erhalten. Ich möchte wissen, ob meine Daten geleakt wurden. 

Die offengelegten Daten sind E-Mail-Adresse, Vorname, Nachname, Telefonnummer, bestellte Produkte und Lieferadresse. Wir haben die betroffenen Benutzer per E-Mail kontaktiert, um Ihnen genau mitzuteilen, welche Daten in ihrem Fall geleakt wurden. Wenn Sie keine E-Mail von Ledger erhalten haben, schauen Sie bitte im Ihrem Spam-Ordner nach. Sie können sich auch an unser Support-Team wenden oder die Website https://haveibeenpwned.com/ besuchen, auf der Sie sofort feststellen können, ob Ihre Daten bei dieser Datenpanne geleakt wurden.

4 – Verkaufen Sie Daten/Informationen an Telefonmarketing-Unternehmen?

Auf keinen Fall. Ihre Daten wurden nie absichtlich weitergegeben und Ledger hat nie davon profitiert, Ihre Daten zu verkaufen oder an Dritte weiterzugeben.  

5 – Verwenden Sie einen unabhängigen Drittanbieter für Pentesting? Bieten Sie Belohnungen als Ansporn an, um Fehler oder Schwächen zu finden?

Wir führen aktives Pentesting durch und haben auch ein Sicherheitslabor namens Ledger Donjon, das unsere Hardwaregeräte konsequent testet. Da der Vorteil eines Hardware-Wallets wie Ledger darin besteht, dass eine vertrauenswürdige Anzeige zur Überprüfung von Informationen verwendet wird, empfehlen wir unseren Benutzern immer, dies zu tun, bevor sie eine Aktion/Transaktion manuell validieren.

Darüber hinaus haben wir ein aktives Bug-Bounty-Programm. Ledger spornt die Community weiter an, an diesem Programm teilzunehmen, um unser Engagement für die Sicherheit zu verdoppeln. Weitere Details hier

6 – Wird Ledger die Informationen zu Phishing-Angriffen mit anderen Hardwareherstellern teilen? Ich habe gehört, dass Betrüger dieselben Adressen auch mit Angriffen für andere Geräte ins Visier nehmen, da sie wissen, dass einige Benutzer über beide verfügen?

Ja, wir haben unsere Absicht angekündigt, bei dieser Initiative mit anderen in der Branche zusammenzuarbeiten. Wir haben uns auch an andere Unternehmen und Einzelpersonen in der Branche gewandt, um das Belohnungsprogramm für Straftaten gegen die Krypto-Community finanziell zu unterstützen. 

7 – Werden Sie die von der Datenpanne Betroffenen entschädigen? 

Wir planen nicht, Personen, die von der Datenpanne betroffen sind, eine Entschädigung anzubieten. Wir sind jedoch entschlossen, uns auf Forschung und Entwicklung zu konzentrieren, um unsere Sicherheit zu stärken. Darüber hinaus investieren wir eine beträchtliche Menge an Ressourcen in die Untersuchung von Datenpannen und aktuellen Phishing-Kampagnen, um die Verantwortlichen zum Nutzen unseres gesamten Ökosystems zur Rechenschaft zu ziehen.

Blick in die Zukunft 

Dies ist eine schwierige Zeit für uns alle. Wir danken allen, die uns zur Seite gestanden haben. Jeder Ledger-Kunden kann sicher sein, dass wir rund um die Uhr arbeiten, um sicherzustellen, dass dies nie wieder passiert. Wie das alte Sprichwort sagt: „Was dich nicht umbringt, macht dich stärker.“ Mit anderen Worten: Ledger wird aus dieser Angelegenheit gestärkt hervorgehen, um Ihnen eine bessere, stärkere und sicherere Erfahrung zu bieten. Sie haben unser Wort. 

Wir fühlen uns geehrt, Teil dieser Community zu sein, und wir werden jeden Tag härter daran arbeiten, uns weiterzuentwickeln und dem Ökosystem einen Mehrwert zu verleihen, aber vor allem werden wir daran arbeiten, um Ihres Vertrauens würdig zu sein.  

Stay in touch

Announcements can be found in our blog. Press contact:
[email protected]