Blog posts, Notícias da empresa | 12/13/2022
Abordando a violação dos dados de e-commerce e marketing de julho de 2020 – Uma Mensagem da Liderança da Ledger
Segurança
O que aconteceu
Em 14 de julho de 2020, um pesquisador que participava de nosso programa de recompensas nos informou sobre um possível vazamento de dados no site da Ledger. Corrigimos imediatamente este vazamento após recebermos o relatório do pesquisador e passamos por uma investigação interna. Uma semana após reparar a violação, descobrimos que ela havia sido explorada em 25 de junho de 2020 por um terceiro não autorizado que acessou nosso banco de dados de e-commerce e marketing. Esse banco de dados é usado para enviar confirmações de pedidos e e-mails promocionais, consistindo principalmente em endereços de e-mail. Além deste, também foi acessado um subconjunto que incluía detalhes de contato e pedidos, como nome e sobrenome, endereço postal, endereço de e-mail e número de telefone. Suas informações de pagamento e fundos cripto estão seguros.
Para sermos o mais transparentes possível, queremos explicar o que aconteceu. Um terceiro não autorizado teve acesso a uma parte de nosso banco de dados de e-commerce e marketing através de uma chave API. A chave API foi desativada e não está mais acessível.
Que informações pessoais estavam envolvidas?
Detalhes de contato e pedidos foram envolvidos. Principalmente o endereço de e-mail de nossos clientes, aproximadamente 1 milhão de endereços. Além de investigar a situação, pudemos também estabelecer que um subconjunto de 9.500 clientes também tiveram expostos dados como nome e sobrenome, endereço postal, número de telefone ou produtos encomendados. Devido ao alcance desta violação e ao nosso compromisso com nossos clientes, decidimos informar a todos os nossos clientes sobre esta situação.
Aqueles 9.500 clientes cujas informações pessoais detalhadas foram expostas receberão hoje um e-mail dedicado compartilhar mais detalhes.
Com relação aos seus dados de e-commerce, nenhuma informação de pagamento e nenhuma credencial (senhas) foram comprometidos com esta violação de dados. Isso afetou apenas os dados de contato de nossos clientes.
Esta violação de dados não tem nenhuma ligação e nenhum impacto em nossas carteiras hardware, nem com a segurança do Ledger Live e seus criptoativos, que estão seguros e nunca estiveram em perigo. Você é a única pessoa com controle e capacidade para acessar estas informações.
O que temos feito e o que estamos fazendo
Como a questão se limitava ao comércio eletrônico e as informações de contato de marketing, pudemos resolvê-la imediatamente, tomamos o tempo necessário para fazer uma investigação interna detalhada, com especialistas terceirizados antes de avisar nossa comunidade.
Em 17 de julho, notificamos a CNIL, a autoridade francesa de proteção de dados, que assegura que a lei de privacidade de dados seja aplicada à coleta, armazenamento e uso de dados pessoais. No dia 21 de julho, fizemos uma parceria com Orange Cyberdefense para avaliar os danos potenciais da violação de dados e identificar possíveis violações de dados.
Após uma investigação minuciosa por nossa equipe de segurança e pela Orange Cyberdefense, podemos concluir que o banco de dados de e-commerce e de marketing foi violado. No momento desta publicação, todos os clientes afetados terão recebido um e-mail com esta atualização.
Estamos monitorando ativamente por evidências de que o banco de dados está sendo vendido na internet e não encontramos nada até agora. Também realizamos um teste interno de penetração e estamos impulsionando o teste externo de penetração que foi originalmente planejado para setembro.
Estamos estendendo ao e-commerce o escopo do nosso programa organizacional e de segurança, originalmente focado em nossos produtos (carteiras hardware e Vault). Estamos tomando medidas para atender aos requisitos listados na ISO 27001.
Estamos apresentando uma queixa formal às autoridades para investigar completamente a situação.
Para maximizar a privacidade de nossos clientes, o Ledger Live, o aplicativo que acompanha sua Nano e que não retém nenhuma informação sobre nossos clientes, se tornará o principal ponto de contato para informações sobre novos desenvolvimentos de produtos, assim como nossas contas de mídia social Twitter, Facebook e LinkedIn.
Para descobrir nossa Política de Privacidade e entender o que fazemos com seus dados, clique aqui.
O que você pode fazer
Recomendamos que você tenha cautela e muita atenção a tentativas de phishing por golpistas maliciosos. Para simplificar, a Ledger nunca lhe pedirá as 24 palavras de sua frase de recuperação. Se você receber um e-mail que pareça ter vindo da Ledger pedindo suas 24 palavras, você deve definitivamente considerá-lo como uma tentativa de phishing.
Além disso, embora façamos tudo o que podemos, sugerimos que visite a seção Segurança da Ledger Academy para se educar sobre princípios gerais de segurança e mais precisamente nosso artigo sobre ataques de phishing.
Lamentamos profundamente este incidente. Levamos a privacidade muito a sério. Descobrimos esse problema graças ao nosso próprio programa “Bug Bounty” e o corrigimos imediatamente. Mas, independentemente de tudo que fizemos para evitar e corrigir esta situação, pedimos sinceras desculpas por qualquer inconveniente que este assunto possa lhe causar.
Se você tiver alguma dúvida, pode ler nossas Perguntas Frequentes e para qualquer informação adicional, você pode entrar em contato diretamente com nosso suporte ao cliente.
Para descobrir nossa Política de Privacidade e entender o que fazemos com seus dados, clique aqui.