Касательно утечки данных из базы интернет-магазина и отдела маркетинга в июле 2020 года — сообщение от руководства Ledger

Что произошло

14 июля 2020 года один из исследователей в рамках нашей Баунти-программы сообщил о потенциальной утечке данных на сайте Ledger. Сразу после получения данной информации мы устранили проблему и провели внутреннее расследование. Спустя неделю после исправления неполадки мы обнаружили, что 25 июня 2020 года несанкционированная третья сторона вновь использовала уязвимость и получила доступ к нашей базе данных интернет-магазина и отдела маркетинга. Речь идёт об информации, которая использовалась для отправки подтверждений заказов и рекламных писем. В основном это Email-адреса с определённым набором контактных данных по типу имени и фамилии, почтового адреса, адреса электронной почты и номера телефона. Обращаем внимание, что ваша платёжная информация и криптовалюты в безопасности.

Здесь мы расскажем о произошедшем, чтобы обеспечить прозрачность данной ситуации. Несанкционированное третье лицо получило доступ к части данных из базы интернет-магазина и отдела маркетинга с помощью ключа API. В данный момент упомянутый ключ API деактивирован и больше не актуален.

Какая информация была затронута?

Хакеры получили контактные данные и информацию о заказах. В основном это адреса электронной почты наших пользователей, которых насчитывается около миллиона. Как показало дальнейшее изучение ситуации, злоумышленники также получили доступ к контактным данным около 9500 пользователей. Речь идёт об информации по типу имени и фамилии, почтового адреса, номера телефона и заказанных устройств. С учётом масштабов ситуации и нашего уважения к клиентам мы в Ledger решили проинформировать всех пользователей наших устройств о деталях произошедшего.

Более того, 9500 клиентов, чьи персональные данные оказались в распоряжении хакеров, получили отдельное электронное письмо с дополнительной информацией.

Поскольку речь идёт исключительно об утечке данных из базы интернет-магазина, более важная информация по типу платёжных данных и данных учётных записей затронута не была. В распоряжении мошенников оказались исключительно контактные данные клиентов Ledger.

Утечка данных никак не связана и не сказывается на безопасности аппаратных кошельков Ledger и приложении Ledger Live. Они всё так же безопасны и по-прежнему гарантируют сохранность ваших криптовалют. При этом цифровые активы и доступ к ним всё так же контролируете исключительно вы.

Что мы сделали и сделаем в отношении утечки данных

Проблема была связана исключительно с контактной информацией интернет-магазина и отдела маркетинга, вдобавок мы смогли немедленно её исправить. При этом мы провели тщательное внутреннее расследование с привлечением сторонних экспертов, прежде чем делиться подробностями ситуации с сообществом.

17 июля 2020 года мы связались с представителями CNIL — французского органа по защите данных, который обеспечивает соблюдение закона о конфиденциальности информации при сборе, хранении и использовании персональных данных. 21 июля 2020 года мы объединили усилия с представителями организации Orange Cyberdefense, что позволило оценить потенциальный ущерб от утечки данных и определить её возможные источники.

В итоге после проведения расследования нашей командой и представителей Orange Cyberdefense мы можем с уверенностью утверждать, что базы интернет-магазина и отдела маркетинга были взломаны. При этом к моменту выхода данной публикации все пользователи, чьи данные оказались в чужих руках, получили электронное письмо с новыми объяснениями по ситуации.

Мы активно наблюдаем за происходящим в интернете и ищем признаки возможной продажи базы данных в интернете — в данный момент они отсутствуют. Мы также провели внутреннее тестирование на проникновение и ускорили проведение внешнего тестирования, которое изначально планировалось на сентябрь 2020 года.

Мы расширяем меры в рамках программы обеспечения безопасности и организации для интернет-магазина, в первую очередь сосредотачивая силы на наших продуктах (HW и Vault). Мы предпринимаем шаги для выполнения требований в соответствии с ISO 27001.

Мы в Ledger подаём официальную жалобу властям для проведения полного расследования ситуации.

Вдобавок для обеспечения конфиденциальности наших клиентов основным каналом для публикации новостей о разработке и запуске новой продукции станет Ledger Live — вспомогательное приложение для аппаратных кошельков Ledger, которое не хранит какой-либо информации о пользователях. Также данные будут публиковаться на социальных платформах Twitter, Facebook и LinkedIn.

Чтобы ознакомиться с нашей Политикой конфиденциальности и узнать, как мы используем ваши данные, перейдите по ссылке.

Что делать дальше

Мы рекомендуем вам быть бдительными. Всегда помните о том, что мошенники могут нагрянуть в любой момент. Также в очередной раз напоминаем, что Ledger никогда не запрашивает у пользователей фразу восстановления из 24 слов. Если вы получили подобные электронные письма от людей, которые представляются сотрудниками Ledger и просят вас раскрыть мнемоническую фразу, значит перед вами мошенник.

Мы боремся с подобной активностью изо всех сил. А пока борьба с мошенниками продолжается, рекомендуем посетить раздел безопасности в Ledger Academy. Там есть общая информация об азах безопасности и подробности о методах фишинга.

Мы очень сожалеем об этом инциденте. И со всей серьёзностью относимся к конфиденциальности. Мы обнаружили эту проблему благодаря нашей собственной программе «Баунти за баги», и немедленно устранили её. Но вне зависимости от всех предпринятых нами действия для избежания и исправления этой ситуации, мы приносим вам искренние извинения за доставленные неудобства.

При наличии вопросов рекомендуем ознакомиться с блоком частых вопросов. Также получить дополнительную информацию можно в Поддержке Ledger.

Чтобы ознакомиться с нашей Политикой конфиденциальности и узнать, как мы используем ваши данные, перейдите по ссылке.