Entradas de blog, Noticias de la empresa | 22/04/2022
Mensaje del Director General de LEDGER: actualización sobre la filtración de datos de julio. A pesar de la filtración, tus activos cripto están protegidos.
SeguridadEstimados clientes de Ledger:
Como es sabido, en julio de 2020 Ledger sufrió un ciberataque que provocó una filtración de datos. Ayer se nos informó del volcado del contenido de una base de datos de clientes de Ledger en Raidforum. Creemos que se trata del contenido de nuestra base de datos de comercio electrónico de junio de 2020.
En julio, en el momento del incidente, contratamos a una organización de seguridad externa para que realizara una revisión forense de los registros disponibles. Gracias a esta revisión de registros, pudimos confirmar que se habían robado aproximadamente un millón de direcciones de correo electrónico, así como 9532 datos personales más detallados (direcciones postales, nombres, apellidos y números de teléfono) que pudimos identificar concretamente.
La base de datos que se publicó ayer demuestra que se ha filtrado un subconjunto mayor de información detallada, aproximadamente 272.000 datos concretos, como direcciones postales, apellidos, nombres y números de teléfono de nuestros clientes. Estos datos no están disponibles en los registros que pudimos analizar. La transparencia en nuestras operaciones y comunicaciones siempre ha sido una prioridad. Esto no ha cambiado.
Aparte de los rumores y de las distintas interpretaciones de este acontecimiento que han tenido lugar en las últimas horas, quiero señalar algunos aspectos simples pero fundamentales para situar el contexto de esta situación.
En nombre de Ledger, lamentamos profundamente esta situación. Somos conscientes de que muchos de nuestros usuarios han sido objeto de campañas de suplantación de identidad por correo electrónico y SMS y eso es, claramente, una molestia. Sé que esta filtración es decepcionante, en el mejor de los casos, y exasperante, en el peor.
Nuestro principal objetivo sigue siendo proporcionar la mejor protección y seguridad para tus activos digitales. Para que quede totalmente claro: esta filtración de datos no tiene ninguna conexión con nuestras billeteras de hardware, la aplicación o vuestros fondos, ni los afecta. Los activos cripto están protegidos. Aunque lamentemos lo ocurrido con toda la sinceridad, esta filtración solo afecta a la información relacionada con el comercio electrónico.
Ledger está haciendo todo lo posible por reforzar todavía más la seguridad de los datos: en los últimos meses, hemos estado luchando contigo contra los estafadores que tratan de robar tus 24 Palabras. Es algo que hemos documentado ampliamente en el sitio web y el blog. Ahora puedes seguir el estado de las campañas de suplantación de identidad que se están desarrollando actualmente desde la misma página: Campañas de suplantación de identidad en curso. También hemos contratado personal calificado de primer nivel para desempeñar el puesto de nuevo Director de Seguridad de la Información (CISO), que se incorporará dentro de unos días. Estamos reforzando aún más todos nuestros recursos y esfuerzos en materia de seguridad: el programa de recompensas, el Dungeon y todos los procedimientos que permitirán probar nuestros sistemas de forma ininterrumpida. Todas estas acciones se han enumerado aquí: El campo de batalla contra los intentos de suplantación de identidad.
Algunos también han expresado su preocupación por posibles ataques físicos, ya que se filtraron algunas de las direcciones de envío. Entendemos cómo puede haber hecho sentir esta situación a nuestros usuarios, pero cabe reconocer que no existe ninguna manera de establecer una correlación entre los datos que se han filtrado y los fondos contenidos en cada una de las billeteras.
De cualquier manera, Ledger se ha diseñado teniendo en cuenta la amenaza de los ataques físicos, ya que siempre es posible. Hay funciones y métodos con los que puedes protegerte:
- Si introduces el código PIN incorrectamente tres veces seguidas, el dispositivo se reiniciará como medida de seguridad.
(Ver: Restablecer a ajustes de fábrica).
- Denegación plausible: en lugar de introducir la Passphrase cada vez que sea necesario, puedes asociarla a un segundo PIN en tu dispositivo Ledger. De esta forma, tendrás dos códigos PIN válidos: uno desbloqueará el conjunto normal de cuentas y el otro el conjunto alternativo de cuentas.
(Ver : Ledger 101 — Parte 4: Principios avanzados de seguridad).
- Por último, no guardes tu Hoja de recuperación en una caja fuerte en casa. La bóveda de un banco es mucho más segura. Si no tienes acceso inmediato a tu copia de respaldo, aumentará tu resiliencia a las amenazas físicas.
(Ver: Ledger 101 — Parte 3: Las mejores prácticas en el uso de billeteras de hardware).
Independientemente de los acontecimientos recientes, si guardas mucho valor en casa, te recomendamos que evalúes regularmente tu propio plan de seguridad y que apliques en todo momento los mejores estándares del mercado. Encontrarás una gran cantidad de información pertinente en https://www.ledger.com/academy y https://www.ledger.com/.
Dicho lo cual, la mayoría de los ataques a los que te enfrentarás serán estafas en línea con el objetivo de robar tus 24 Palabras. Nunca nos cansaremos de decirlo: lo más importante es que NUNCA compartas tus 24 Palabras con NADIE. Ni siquiera con Ledger. Nunca te las pediremos. Además, Ledger nunca se pondrá en contacto contigo mediante mensajes de texto o llamadas telefónicas. Muchos nos han preguntado si sus fondos podrían verse afectados si nunca se han compartido las 24 Palabras. Seré muy claro: No. Tus fondos están a buen recaudo.
Para situar las cosas en contexto y no restarnos responsabilidad, es obvio que hemos entrado en una época en la que cada vez se producirán más ciberataques. En 2020 alcanzaron su máximo histórico (World’s Biggest Data Breaches & Hacks [Las mayores filtraciones de datos y hackeos del mundo] de Information is Beautiful). Es un problema global creciente al que todos nos enfrentamos con la aceleración digital. Invertir en el futuro de la seguridad se ha vuelto más necesario y apremiante que nunca. Ese es precisamente el cometido de Ledger: invertir continuamente en la mejora de los estándares de seguridad. Por eso tampoco vamos a devolver el dinero a los clientes, como algunos han propuesto. En cambio, lo mejor y más sincero que podemos ofrecer es nuestro compromiso con ser mejores y llevar a cabo esas inversiones para mejorar continuamente la seguridad de los productos que ponemos a tu disposición.
En esta lucha para #StopTheScammers, en ese espíritu que siempre nos ha caracterizado a nosotros y a las comunidades cripto, necesitamos que estés a nuestro lado.
Proporcionaremos la información actualizada necesaria a medida que continúe nuestro análisis para ofrecer a nuestra comunidad una total transparencia sobre la evolución de este asunto https://www.ledger.com/phishing-campaigns-status.
Si tienes alguna otra pregunta, consulta primero las Preguntas frecuentes y, si aun así no encuentras respuesta, ponte en contacto con nosotros a través del servicio de Atención al cliente.
Atentamente,
Pascal Gauthier
Director general de Ledger
Version française
Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.
Chers clients Ledger,
Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d’une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce en date de juin 2020.
Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) – nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.
La base de données rendue publique hier montre qu’un plus grand sous-ensemble d’informations détaillées a été divulgué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les logs que nous avons pu analyser.
La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n’a pas changé.
Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j’aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situation.
Au nom de Ledger, je tiens à vous adresser nos profonds regrets pour cette situation. Nous savons que certains d’entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une nuisance. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d’entre vous.
Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.
Soyons clairs : vos crypto-monnaies sont en sécurité.
Cette fuite de données n’a aucun lien ni impact sur vos portefeuilles, l’application Ledger Live ou vos fonds.
Bien que cette situation soit sincèrement regrettable, cette fuite ne concerne que des informations liées au e-commerce.
Les équipes de Ledger s’engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : pendant les derniers mois, nous avons combattu avec vous les scammers (arnaqueurs) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre site et notre blog. Vous pouvez suivre le statut de ces actions sur les campagnes de phishing ici.
Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d’Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et efforts de sécurité : le Programme Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h/24, 7j/7. L’ensemble de nos actions sont listées ici.
Certains d’entre vous ont aussi exprimé des préoccupations à propos d’attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l’émotion créée par cette situation, il est important de comprendre qu’il n’existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.
Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d’attaques physiques, dans la mesure où cela constitue dans l’absolu un risque potentiel. Il existe toute une série de moyens de vous protéger :
- Si vous entrez un code PIN incorrect 3 fois de suite, le terminal se réinitialisera après la troisième tentative incorrecte par mesure de sécurité. (Voir: Reset to factory settings)
- Si au lieu d’entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Voir : Ledger 101 — Part 4: Advanced Security Principles)
- Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d’accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Voir: Ledger 101 — Part 3: Best Practices When Using a Hardware Wallet)
De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)
Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni téléphone.
Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair : NON. Vos fonds sont en sécurité.
Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes ; elles ont été au plus haut en 2020 (World’s Biggest Data Breaches & Hacks — Information is Beautiful). C’est un problème global croissant auquel nous devons tous faire face avec l’accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C’est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C’est pourquoi nous ne rembourserons pas l’achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous engager dans l’amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.
Dans ce combat #StopTheScammers, fidèle à notre état d’esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.
Pour toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.
Sincèrement,
Pascal Gauthier,
CEO de Ledger