Новинка: с лёгкостью восстанавливайте кошелёк посредством Ledger Recover от Coincover

Приступить

Новости компании, Публикации в блогах | 05/17/2022

Касательно утечки данных из базы интернет-магазина и отдела маркетинга в июле 2020 года — сообщение от руководства Ledger

Безопасность

Что произошло

14 июля 2020 года один из исследователей в рамках нашей Баунти-программы сообщил о потенциальной утечке данных на сайте Ledger. Сразу после получения данной информации мы устранили проблему и провели внутреннее расследование. Спустя неделю после исправления неполадки мы обнаружили, что 25 июня 2020 года несанкционированная третья сторона вновь использовала уязвимость и получила доступ к нашей базе данных интернет-магазина и отдела маркетинга. Речь идёт об информации, которая использовалась для отправки подтверждений заказов и рекламных писем. В основном это Email-адреса с определённым набором контактных данных по типу имени и фамилии, почтового адреса, адреса электронной почты и номера телефона. Обращаем внимание, что ваша платёжная информация и криптовалюты в безопасности.

Здесь мы расскажем о произошедшем, чтобы обеспечить прозрачность данной ситуации. Несанкционированное третье лицо получило доступ к части данных из базы интернет-магазина и отдела маркетинга с помощью ключа API. В данный момент упомянутый ключ API деактивирован и больше не актуален.

Какая информация была затронута?

Хакеры получили контактные данные и информацию о заказах. В основном это адреса электронной почты наших пользователей, которых насчитывается около миллиона. Как показало дальнейшее изучение ситуации, злоумышленники также получили доступ к контактным данным около 9500 пользователей. Речь идёт об информации по типу имени и фамилии, почтового адреса, номера телефона и заказанных устройств. С учётом масштабов ситуации и нашего уважения к клиентам мы в Ledger решили проинформировать всех пользователей наших устройств о деталях произошедшего.

Более того, 9500 клиентов, чьи персональные данные оказались в распоряжении хакеров, получили отдельное электронное письмо с дополнительной информацией.

Поскольку речь идёт исключительно об утечке данных из базы интернет-магазина, более важная информация по типу платёжных данных и данных учётных записей затронута не была. В распоряжении мошенников оказались исключительно контактные данные клиентов Ledger.

Утечка данных никак не связана и не сказывается на безопасности аппаратных кошельков Ledger и приложении Ledger Live. Они всё так же безопасны и по-прежнему гарантируют сохранность ваших криптовалют. При этом цифровые активы и доступ к ним всё так же контролируете исключительно вы.

Что мы сделали и сделаем в отношении утечки данных

Проблема была связана исключительно с контактной информацией интернет-магазина и отдела маркетинга, вдобавок мы смогли немедленно её исправить. При этом мы провели тщательное внутреннее расследование с привлечением сторонних экспертов, прежде чем делиться подробностями ситуации с сообществом.

17 июля 2020 года мы связались с представителями CNIL — французского органа по защите данных, который обеспечивает соблюдение закона о конфиденциальности информации при сборе, хранении и использовании персональных данных. 21 июля 2020 года мы объединили усилия с представителями организации Orange Cyberdefense, что позволило оценить потенциальный ущерб от утечки данных и определить её возможные источники.

В итоге после проведения расследования нашей командой и представителей Orange Cyberdefense мы можем с уверенностью утверждать, что базы интернет-магазина и отдела маркетинга были взломаны. При этом к моменту выхода данной публикации все пользователи, чьи данные оказались в чужих руках, получили электронное письмо с новыми объяснениями по ситуации.

Мы активно наблюдаем за происходящим в интернете и ищем признаки возможной продажи базы данных в интернете — в данный момент они отсутствуют. Мы также провели внутреннее тестирование на проникновение и ускорили проведение внешнего тестирования, которое изначально планировалось на сентябрь 2020 года.

Мы расширяем меры в рамках программы обеспечения безопасности и организации для интернет-магазина, в первую очередь сосредотачивая силы на наших продуктах (HW и Vault). Мы предпринимаем шаги для выполнения требований в соответствии с ISO 27001.

Мы в Ledger подаём официальную жалобу властям для проведения полного расследования ситуации.

Вдобавок для обеспечения конфиденциальности наших клиентов основным каналом для публикации новостей о разработке и запуске новой продукции станет Ledger Live — вспомогательное приложение для аппаратных кошельков Ledger, которое не хранит какой-либо информации о пользователях. Также данные будут публиковаться на социальных платформах Twitter, Facebook и LinkedIn.

Чтобы ознакомиться с нашей Политикой конфиденциальности и узнать, как мы используем ваши данные, перейдите по ссылке.

Что делать дальше

Мы рекомендуем вам быть бдительными. Всегда помните о том, что мошенники могут нагрянуть в любой момент. Также в очередной раз напоминаем, что Ledger никогда не запрашивает у пользователей фразу восстановления из 24 слов. Если вы получили подобные электронные письма от людей, которые представляются сотрудниками Ledger и просят вас раскрыть мнемоническую фразу, значит перед вами мошенник.

Мы боремся с подобной активностью изо всех сил. А пока борьба с мошенниками продолжается, рекомендуем посетить раздел безопасности в Ledger Academy. Там есть общая информация об азах безопасности и подробности о методах фишинга.

Мы очень сожалеем об этом инциденте. И со всей серьёзностью относимся к конфиденциальности. Мы обнаружили эту проблему благодаря нашей собственной программе «Баунти за баги», и немедленно устранили её. Но вне зависимости от всех предпринятых нами действия для избежания и исправления этой ситуации, мы приносим вам искренние извинения за доставленные неудобства.

При наличии вопросов рекомендуем ознакомиться с блоком частых вопросов. Также получить дополнительную информацию можно в Поддержке Ledger.

Чтобы ознакомиться с нашей Политикой конфиденциальности и узнать, как мы используем ваши данные, перейдите по ссылке.

Stay in touch

Announcements can be found in our blog. Press contact:
[email protected]

Subscribe to our
newsletter

New coins supported, blog updates and exclusive offers directly in your inbox


Your email address will only be used to send you our newsletter, as well as updates and offers. You can unsubscribe at any time using the link included in the newsletter.

Learn more about how we manage your data and your rights.