Blogbeiträge, Neuigkeiten aus dem Unternehmen | 12/05/2022

Mitteilung des CEO von LEDGER – Update zur Datenschutzverletzung im Juli. Trotz des Leaks sind Ihre Kryptowährungen sicher.

Sicherheit

Sehr geehrte Ledger-Kunden,

Wie Sie wissen, war Ledger Ziel einer Cyberattacke, die im Juli 2020 eine Datenschutzverletzung verursachte. Gestern wurden wir über den Speicherauszug des Inhalts einer Ledger-Kundendatenbank auf Raidforum informiert. Wir glauben, dass dies der Inhalt unserer E-Commerce-Datenbank von Juni 2020 ist.

Zum Zeitpunkt des Vorfalls im Juli haben wir eine externe Sicherheitsorganisation mit der Durchführung einer forensischen Überprüfung der verfügbaren Protokolle beauftragt. Durch die Überprüfung der Protokolle konnten wir bestätigen, dass etwa eine Million E-Mail-Adressen sowie 9.532 personenbezogene Detaildaten (Postanschriften, Vor- und Nachnamen sowie Telefonnummern) gestohlen wurden, die wir speziell identifizieren konnten.

Aus der gestern veröffentlichten Datenbank geht hervor, dass ein größerer Teil detaillierter Daten geleakt wurde, nämlich rund 272.000 Detaildaten wie Postanschrift, Nachname, Vorname und Telefonnummer unserer Kunden. Diese Angaben sind in den Protokollen, die wir auswerten konnten, nicht enthalten. Die Transparenz unserer Tätigkeiten und Kommunikation war schon immer eine Priorität. Daran hat sich nichts geändert.

Über die Gerüchte und diversen Interpretationen dieses Ereignisses in den letzten Stunden hinaus möchte ich ein paar einfache, aber grundlegende Dinge erklären, um die Realität dieser Situation ins rechte Licht zu rücken.

Im Namen von Ledger bedauern wir diese Situation sehr. Uns ist bewusst, dass viele von Ihnen Zielscheibe von E-Mail- und SMS-Phishing-Kampagnen geworden sind und dass dies zweifellos ein Ärgernis ist. Ich weiß, dass dieser Datendiebstahl im besten Fall enttäuschend ist und im schlimmsten Fall wütend macht.

Unser oberstes Ziel bleibt es, Ihnen den besten Schutz und die beste Sicherheit für Ihre digitalen Vermögenswerte zu bieten. Um es ganz klar zu sagen: Diese Datenpanne steht jedoch nicht im Zusammenhang mit unseren Hardware-Wallets, der App oder Ihren Guthaben und hat keine Auswirkungen darauf. Ihre Kryptowährungen sind sicher. Dieser Datenschutzverstoß ist wirklich äußerst bedauerlich, gleichzeitig betrifft er allerdings nur E-Commerce-Daten.

Ledger tut alles in seiner Macht stehende, um unsere Datensicherheit noch weiter zu erhöhen: Seit einigen Monaten kämpfen wir gemeinsam mit Ihnen gegen die Betrüger, die versuchen, Ihre 24 Wörter zu stehlen. Dies wurde auf unserer Website und in unserem Blog ausführlich dokumentiert. Sie können den Status laufender Phishing-Kampagnen jetzt auf einer einzigen Seite verfolgen: Laufende Phishing-Kampagnen. Außerdem haben wir erstklassige Talente für unseren neuen CISO rekrutiert, die in wenigen Tagen bei uns anfangen werden. Derzeit verstärken wir unsere Sicherheitsressourcen und -bemühungen noch weiter: das Belohnungsprogramm, den Dungeon und sämtliche Verfahren, die rund um die Uhr Tests unserer Systeme ermöglichen. Alle diese Maßnahmen sind hier aufgeführt: Der nie endende Kampf gegen Phishing-Versuche.

Manche von Ihnen haben sich auch besorgt über mögliche physische Angriffe geäußert, da einige Ihrer Lieferadressen geleakt wurden. Wir verstehen die in dieser Situation entstandenen Emotionen. Trotzdem ist es wichtig, darauf hinzuweisen, dass es keinerlei Möglichkeit gibt, einen Zusammenhang zwischen den geleakten Daten und den Guthaben in Ihrer Wallet herzustellen.

Unabhängig davon wurde Ledger mit Blick auf die Bedrohung durch physische Angriffe entwickelt, da diese immer eine potenzielle Gefahr darstellen. Es gibt Funktionen und Möglichkeiten, sich selbst zu schützen:

  • Wenn Sie dreimal hintereinander einen falschen PIN-Code eingeben, wird das Gerät als Sicherheitsmaßnahme nach dem dritten Fehlversuch zurückgesetzt.
    (Siehe: Zurücksetzen auf Werkseinstellungen)

Unabhängig von den jüngsten Ereignissen bitten wir Sie, Ihr eigenes Sicherheitsschema regelmäßig zu überprüfen und immer die besten Marktstandards anzuwenden, sofern Sie hohe Beträge Zuhause aufbewahren. Viele relevante Informationen finden Sie auf: https://www.ledger.com/academy und https://www.ledger.com/.

Abgesehen davon sind die meisten Angriffe, denen Sie ausgesetzt sind, Online-Scams, mit denen versucht wird, Ihre 24 Wörter zu stehlen. Wir können es nicht oft genug sagen: Das Wichtigste ist, teilen Sie Ihre 24 Wörter NIEMALS mit DRITTEN! Nicht einmal mit Ledger. Wir werden Sie niemals danach fragen. Ledger wird Sie auch nie per SMS oder Telefon kontaktieren. Viele haben gefragt, ob Ihre Guthaben betroffen sein könnten, wenn Sie Ihre 24 Wörter nie geteilt haben. Ich sage es sehr deutlich, Nein. Ihr Geld ist jedoch sicher.

um die Dinge ins rechte Licht zu rücken und unsere Verantwortung nicht zu untergraben: Es ist offensichtlich, dass wir in einer Ära angekommen sind, in der es immer mehr Cyberattacken gibt; im Jahr 2020 hat ihre Zahl einen neuen Höchststand erreicht (World’s Biggest Data Breaches & Hacks – Information is Beautiful). Es ist ein zunehmendes weltweites Problem, mit dem wir alle aufgrund der digitalen Beschleunigung konfrontiert sind. Investitionen in die Zukunft der Sicherheit sind heute wichtiger und dringender denn je. Genau das ist die Mission von Ledger: Wir investieren kontinuierlich in die Verbesserung der Sicherheitsstandards. Das ist auch der Grund dafür, warum wir unseren Kunden kein Geld zurückerstatten werden, wie einige es vorgeschlagen haben. Stattdessen ist das Beste, das wir anbieten können, unser Engagement, besser zu werden und diese Investitionen zu tätigen, um die Sicherheit der Produkte, die wir Ihnen zur Verfügung stellen, kontinuierlich zu verbessern.

In diesem Kampf gegen die Betrüger, #StopTheScammers, in dem Geist, der uns und die Krypto-Gemeinschaften immer begleitet hat, brauchen wir Sie an unserer Seite.

Wir werden die notwendigen Updates vornehmen, während unsere Analyse weitergeht, um unserer Gemeinschaft volle Transparenz über die Entwicklungen zu diesem Thema auf https://www.ledger.com/phishing-campaigns-status zu ermöglichen.

Bei weiteren Fragen schauen Sie bitte zuerst in den FAQ. Wenn Ihre Frage dort nicht beantwortet wird, wenden Sie sich bitte an unseren Kundendienst.

Mit freundlichen Grüßen,
Pascal Gauthier
CEO, Ledger

Version française

Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.

Chers Kunden Ledger,

Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d’une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce en date de juin 2020.

Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) – nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.

La base de données rendue publique hier montre qu’un plus grand sous-ensemble d’informations détaillées a été divulgué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les logs que nous avons pu analyser.

La transparence dans nos opérations et nos communications a toujours été une priorité. Dies hat sich nicht geändert.

Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j’aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situation.

Au nom de Ledger, je tiens à vous adresser nos profonds regrets pour cette situation. Nous savons que certains d’entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une nuisance. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d’entre vous.

Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.

Soyons clairs : vos crypto-monnaies sont en sécurité.

Cette fuite de données n’a aucun lien ni impact sur vos portefeuilles, l’application Ledger Live ou vos fonds.

Bien que cette situation soit sincèrement regrettable, cette fuite ne concerne que des informations liées au e-commerce.

Les équipes de Ledger s’engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : pendant les derniers mois, nous avons combattu avec vous les scammers (arnaqueurs) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre site et notre blog. Vous pouvez suivre le statut de ces actions sur les campagnes de phishing ici.

Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d’Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et efforts de sécurité : le Programme Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h/24, 7j/7. L’ensemble de nos actions sont listées ici.

Certains d’entre vous ont aussi exprimé des préoccupations à propos d’attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l’émotion créée par cette situation, il est important de comprendre qu’il n’existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.

Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d’attaques physiques, dans la mesure où cela constitue dans l’absolu un risque potentiel. Il existe toute une série de moyens de vous protéger :

  • Si vous entrez un code PIN incorrect 3 fois de suite, le terminal se réinitialisera après la troisième tentative incorrecte par mesure de sécurité. (Siehe: Zurücksetzen auf Werkseinstellungen)
  • Si au lieu d’entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Siehe : Ledger 101 — Teil 4: Erweiterte Sicherheitsprinzipien)
  • Enfin, ne conservez pas votre feuille de récupération chez vous. Ein Schließfach in der Bank ist sicherer. Ne pas avoir d’accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Siehe: Ledger 101 — Teil 3: Bewährte Praktiken bei der Verwendung einer Hardware-Wallet)

De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Relevante Informationen zu diesem Thema finden Sie unter https://www.ledger.com/academy & https://www.ledger.com/.)

Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Nicht einmal Ledger. Wir werden sie nie fragen. De même, Ledger ne vous contactera jamais par SMS ni téléphone.

Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Ich sage es ganz deutlich: NEIN. Ihr Geld ist sicher.

Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes ; elles ont été au plus haut en 2020 (Die größten Datenpannen und Hacks der Welt — Information ist schön). C’est un problème global croissant auquel nous devons tous faire face avec l’accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C’est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C’est pourquoi nous ne rembourserons pas l’achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous engager dans l’amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.

Dans ce combat #StopTheScammers, fidèle à notre état d’esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.

Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.

Pour toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.

Mit freundlichen Grüßen,
Pascal Gauthier,
CEO von Ledger

Bleiben Sie in Kontakt

Ankündigungen sind in unserem Blog zu finden. Pressekontakt:
[email protected]