Ledger 고객 여러분,
아시다시피, Ledger는 사이버 공격의 표적이 되었으며, 이로 인해 2020년 7월에 데이터 침해가 발생했습니다. 어제 당사는 Raidforum에 존재하는 Ledger 고객 데이터베이스 콘텐츠의 덤핑에 대한 통보를 받았습니다. 2020년 6월부터 당사는 이를 전자상거래 데이터베이스의 콘텐츠라고 판단하였습니다.
사건 당시, 7월 당사는 사용 가능한 로그에 대한 포렌식 검토를 수행하기 위해 외부 보안 기관을 참여시켰습니다. 로그를 검토한 결과, 약 백만 개의 이메일 주소가 도용되었음을 확인하였습니다. 또한 구체적으로 식별이 가능한 상세한 개인 정보(우편 주소, 이름, 성 및 전화번호) 9,532개가 도난당했다는 사실 역시 확인하였습니다.
어제 공개된 데이터베이스는 상세 정보의 폭넓은 하위 세트가 유출되었음을 보여 줍니다. 고객의 우편 주소, 성, 이름, 전화번호를 비롯하여 약 273,000개의 상세 정보가 유출된 것으로 파악됩니다. 당사가 분석할 수 있던 로그에서는 이러한 상세 정보를 확인할 수 없었습니다. 당사의 운영과 커뮤니케이션에서 투명성은 항상 중요한 요소입니다. 이 점에는 변함이 없습니다.
지난 몇 시간 동안 이번 사건과 관련하여 다양한 소문과 해석이 나왔습니다만, 이러한 수준을 넘어 간단하지만 중요한 정보를 알려 드리면서 현실적 상황을 전체적으로 설명하고자 합니다.
Ledger는 이런 상황이 발생한 것에 대해 대단히 유감스럽게 생각합니다. 당사 고객 중 이메일 및 SMS 피싱 사기 캠페인의 표적이 된 분이 많다는 점, 그리고 이러한 상황이 성가시다는 점은 주지하고 있습니다. 이번 유출 사고는 아무리 좋게 보아도 실망스럽고, 나쁘게 본다면 분노할 수밖에 없는 상황임을 이해합니다.
당사의 최우선 목표는 디지털 자산을 위해 최고의 보호와 보안을 제공하는 것입니다. 분명히 말씀드리겠습니다, 이번 데이터 침해는 하드웨어 지갑, 앱이나 여러분의 자금에는 아무런 영향을 주지 않습니다. 여러분의 암호화폐는 안전합니다. 진심으로 유감스럽게 생각합니다만, 이번 데이터 침해 사고는 전자상거래(이커머스) 관련 정보에만 해당합니다.
Ledger는 데이터 보안을 강화하기 위해 전력을 다합니다. 지난 몇 달 동안, 당사는 여러분의 24개의 단어를 훔치려는 스캐머의 시도에 맞서 여러분과 함께 싸우고 있습니다. 이러한 조치는 당사 웹사이트 및 블로그에서 확인할 수 있는 다양한 문서로 작성되어 있습니다. 이제 하나의 페이지(계속되는 피싱 광고)에서 진행 중인 피싱 사기 캠페인의 상태를 추적하실 수 있습니다. 또한, 며칠 후로 예정된 새로운 CISO 영입으로 세계적인 수준의 인재를 유치했습니다. 당사는 모든 보안 자원과 노력을 강화하고 있습니다. 바운티(Bounty) 프로그램, 던전(Dungeon) 및 연중무휴 시스템 테스트를 허용하는 모든 절차가 그 예시입니다. 피싱 사기 시도에 맞서는 전장에서 이 모든 조치를 확인하실 수 있습니다.
또한, 배송 주소가 일부 유출된 탓에 물리적 공격이 발생할 수 있다는 우려를 표해 주신 분도 계십니다. 현재 상황을 고려하여 여러분이 느끼시는 감정도 충분히 이해합니다. 단, 유출된 데이터와 여러분 지갑의 자금 사이의 상관 관계를 파악할 방법이 없다는 점을 알아주시기 바랍니다.
그럼에도 Ledger는 항상 물리적 공격을 잠재적인 위협 요인으로 상정하므로, 이러한 공격을 염두에 두고 설계되었습니다. 여러분 스스로 보호할 수 있는 기능과 방법은 다음과 같습니다.
- PIN 코드를 세 번 연속 잘못 입력하는 경우, 보안 조치로서 세 번째 오입력 후 장치가 리셋됩니다.
(참조: 공장 출고값으로 설정 리셋)
- 부인권: 필요할 때마다 패스프레이즈를 입력하는 대신 Ledger 장치와 두 번째 PIN 코드를 연동할 수 있습니다. 이를 사용하면 유효한 PIN 코드가 두 개 생성됩니다. 하나는 일반 계정 세트를 잠금 해제하고 다른 하나는 계정의 또 다른 세트를 잠금 해제합니다.
(참조 :Ledger 101 — 4부: 고급 보안 원칙)
- 마지막으로, 복구 시트를 가정 내 금고에 보관하지 마세요. 은행 금고가 훨씬 안전합니다. 다른 사람이 이 백업 수단에 즉시 액세스할 수 없게 되면 물리적 위협으로부터 보다 안전할 수 있습니다.
(참조: Ledger 101 — 3부: 하드웨어 지갑 사용의 모범 사례)
최근 사건과 관계 없이, 자택에 고액의 자산을 보관하신 경우 정기적으로 보안 조치를 평가하고 항상 최고의 시장 표준을 적용하시기를 권장합니다. 더 많은 관련 정보는 https://www.ledger.com/academy, https://www.ledger.com/에서 확인하실 수 있습니다.
간단히 말씀드려서, 여러분을 노리는 공격 중 대부분은 24개의 단어를 훔치려고 하는 온라인 스캠입니다. 아무리 강조해도 과하지 않은 점이 있습니다. 그 누구와도 24개의 단어를 공유해서는 안 된다는 것입니다. Ledger도 예외는 아닙니다. Ledger는 그러한 정보를 절대 요구하지 않습니다. 또, Ledger는 절대로 문자 메시지나 전화로 사용자에게 연락하지 않습니다. 24개의 단어를 공유하지 않은 경우에도 자금이 영향을 받을 수 있는지 여쭤보신 분들이 많았습니다. 여기서 분명히 말씀드립니다. 아니요. 사용자의 자금은 안전합니다.
보다 넓은 시야에서 당사의 책임을 훼손하지 않고자 명시하자면, 현재 사이버 공격이 점점 더 많이 발생하는 시대에 진입했다는 사실은 분명합니다. 2020년에는 역대 최고치를 기록한 바 있습니다(세계 최대의 데이터 침해 & 해킹 — Information is Beautiful). 사이버 공격은 디지털 가속화로 인해 우리 모두가 경험하고 있으며 점점 더 늘어가는 전 세계적인 문제입니다. 보안의 미래에 투자하는 것이 그 어느 때보다 더 필요하고 시급해졌습니다. 이것이 바로 Ledger의 사명입니다: 당사는 보안의 표준을 개선하고자 끊임없이 투자합니다. 이는 일부 제안이 있었음에도 당사가 고객 여러분께 환불을 제공하지 않는 이유이기도 합니다. 대신, 고객을 위한 당사의 최선의 노력과 진실된 마음을 더 나은 제품과 서비스 제공을 위한 헌신과 이러한 투자를 통한 끊임없는 제품 보안 개선을 통해 전해드립니다.
스캐머를 멈추기 위한(#StopTheScammers) 싸움에서, 항상 당사와 암호화폐 커뮤니티 모두가 품어온 정신을 이어가기 위해서는 여러분의 도움이 필요합니다.
당사는 커뮤니티에 이번 주제와 관련된 정보를 투명하게 공개하고자, https://www.ledger.com/phishing-campaigns-status 페이지에서 분석이 진행되는 수순에 따라 필요한 업데이트를 전해드리겠습니다.
추가로 궁금하신 점이 있는 경우 먼저 FAQ를 확인하시고, 여기에서도 질문에 대한 답변을 찾을 수 없다면 고객 지원을 통해 문의해 주시기 바랍니다.
감사합니다,
Pascal Gauthier
Ledger CEO
프랑스어 버전
Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.
Chers clients Ledger,
Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d’une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce en date de juin 2020.
Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) – nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.
La base de données rendue publique hier montre qu’un plus grand sous-ensemble d’informations détaillées a été divulgué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les logs que nous avons pu analyser.
La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n’a pas changé.
Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j’aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situation.
Au nom de Ledger, je tiens à vous adresser nos profonds regrets pour cette situation. Nous savons que certains d’entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une nuisance. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d’entre vous.
Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.
Soyons clairs : vos crypto-monnaies sont en sécurité.
Cette fuite de données n’a aucun lien ni impact sur vos portefeuilles, l’application Ledger Live ou vos fonds.
Bien que cette situation soit sincèrement regrettable, cette fuite ne concerne que des informations liées au e-commerce.
Les équipes de Ledger s’engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : pendant les derniers mois, nous avons combattu avec vous les scammers (arnaqueurs) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre site et notre blog. Vous pouvez suivre le statut de ces actions sur les campagnes de phishing ici.
Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d’Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et efforts de sécurité : le Programme Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h/24, 7j/7. L’ensemble de nos actions sont listées ici.
Certains d’entre vous ont aussi exprimé des préoccupations à propos d’attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l’émotion créée par cette situation, il est important de comprendre qu’il n’existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.
Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d’attaques physiques, dans la mesure où cela constitue dans l’absolu un risque potentiel. Il existe toute une série de moyens de vous protéger :
- Si vous entrez un code PIN incorrect 3 fois de suite, le terminal se réinitialisera après la troisième tentative incorrecte par mesure de sécurité. (Voir: 공장 출고값으로 설정 리셋)
- Si au lieu d’entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Voir : Ledger 101 — 4부: 고급 보안 원칙)
- Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d’accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Voir: Ledger 101 — 3부: 하드웨어 지갑 사용의 모범 사례)
De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)
Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni téléphone.
Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair : NON. Vos fonds sont en sécurité.
Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes ; elles ont été au plus haut en 2020 (세계 최대의 데이터 침해 & 해킹 — Information is Beautiful). C’est un problème global croissant auquel nous devons tous faire face avec l’accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C’est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C’est pourquoi nous ne rembourserons pas l’achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous engager dans l’amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.
Dans ce combat #StopTheScammers, fidèle à notre état d’esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.
Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.
Pour toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.
Sincèrement,
Pascal Gauthier,
Ledger CEO