Обращение генерального директора Ledger — обновление по ситуации с утечкой данных в июле 2020 года. Ваши криптовалюты по-прежнему в безопасности.

Уважаемые пользователи Ledger,

как вы наверняка знаете, Ledger стала жертвой кибератаки, которая привела к утечке данных в июле 2020 года. Вчера хакеры опубликовали содержимое базы данных пользователей Ledger на хакерской платформе Raidforum. Судя по всему, речь идёт о содержимом базы данных нашего интернет-магазина по состоянию на июнь 2020 года.

Во время первоначального инцидента в июле мы привлекли внешнюю службу безопасности для проведения тщательной проверки имеющихся логов. Данная проверка подтвердила, что речь идёт о краже приблизительно 1 миллиона Email-адресов, а также 9532 наборов более подробной информации, включая адреса, имена и фамилии, и номера телефонов.

Увы, вчерашний слив базы данных показал, что хакеры украли куда больший объём личной информации. Последний эквивалентен 272 тысячам наборов подробных данных, включая адреса, имена и фамилии, а также номера телефонов наших пользователей. Различие с нашими предыдущими выводами обусловлено тем, что эти данные не присутствовали в проанализированных нами логах. Однако прозрачность наших действий и коммуникации остаётся главным приоритетом Ledger — равно как это было и раньше.

За последние несколько часов было распространено немало слухов и интерпретаций случившегося. Несмотря на это, я хочу прояснить несколько простых и фундаментальных моментов, которые помогут разобраться в ситуации.

Прежде всего, от имени Ledger приношу извинения за случившееся. Мы знаем, что многие из вас стали жертвой попыток фишинговых атак через Email и SMS — и это действительно неприятно. Я осознаю, что утечка данных может разочаровывать и даже приводить в ярость, и мне жаль, что так произошло.

Главная цель Ledger — предоставлять вам лучшие инструменты защиты и обеспечения безопасности ваших цифровых активов. В связи с этим проясню ключевой момент: данная утечка данных не связана и не влияет на наши аппаратные кошельки, приложение или ваши криптовалюты. Ваши монеты по-прежнему в безопасности. И хотя сложившаяся ситуация крайне неприятна, утечка данных затронула лишь информацию из базы нашего интернет-магазина.

Ledger делает всё возможное, чтобы улучшить безопасность данных. В частности, на протяжении последних месяцев мы активно боролись с мошенниками, которые пытались выведать ваши фразы восстановления из 24 слов. Подтверждения этому легко найти на сайте и блоге компании. При этом в данный момент следить за ходом фишинговых кампаний мошенников можно на единой странице под названием «Актуальные случаи фишинга». Мы также привлекли к работе экспертов мирового уровня, которые присоединятся к новому директору по информационной безопасности Ledger спустя несколько дней. Вдобавок мы укрепляем наши ресурсы и активизируем усилия по части безопасности. Речь идёт о баунти-программе, лаборатории Donjon и прочих процедурах, обеспечивающих круглосуточное тестирование наших систем. В итоге все наши действия в данном направлении перечислены на странице «Поле битвы с попытками фишинга».

Некоторые клиенты Ledger также выразили обеспокоенность из-за перспективы физических атак, ведь в слитой базе данных также фигурируют адреса доставки. Мы осознаём эмоции, которые возникают из-за произошедшего. Однако важно осознавать, что публикация личных данных и номеров телефона никак не раскрывает объём монет на вашем аппаратном кошельке.

Как бы там ни было, в устройствах Ledger реализованы механизмы защиты от возможного физического нападения или другой подобной опасности. Соответственно, обезопасить себя в подобных ситуациях всё же можно:

• В случае ввода неправильного ПИН-кода три раза подряд устройство автоматически сбросится до заводских настроек. Данный алгоритм предусмотрен в качестве дополнительной меры безопасности.
  Подробнее — в статье «Сбрасываем устройство до заводских настроек»

• В устройствах Ledger также реализован механизм правдоподобного отрицания. Он предполагает возможность установить дополнительный ПИН-код на устройство Ledger для отдельного набора счетов. В итоге у пользователя будет два ПИН-кода. Первый разблокирует обычные счета, в то время как второй открывает доступ к альтернативному набору счетов с небольшим количеством монет на них.
  Подробнее — в статье «Ledger 101: Часть четвёртая. Основы продвинутой безопасности»

• Также рекомендуем не хранить листы с фразой восстановления дома. К примеру, банковская ячейка куда более надёжна для этой цели. Вдобавок отсутствие мгновенного доступа к мнемонической фразе повышает защиту от физических угроз.
  Подробнее — в статье «Ledger 101: Часть третья. Основы безопасности при использовании аппаратных кошельков»

Если вы храните дома большие объёмы криптовалюты на аппаратных кошельках, рекомендуем регулярно оценивать собственную систему безопасности для соответствия лучшим рыночным стандартам. Подробнее об этом — в Ledger Academy и на сайте Ledger.

Большинство попыток кражи криптовалют — это онлайн-скамы с целью узнать вашу фразу восстановления из 24 слов. Да, мы регулярно повторяем данную рекомендацию, но сделаем это ещё раз: никогда и ни с кем не делитесь фразой восстановления из 24 слов, причём даже с Ledger. Ledger никогда не попросит раскрыть эту информацию. Также Ledger никогда не будет связываться с вами через SMS или по телефону. Клиенты часто спрашивают, могут ли в теории возникнуть проблемы с криптовалютами, если попросту никогда не раскрывать другим фразу восстановления из 24 слов. Отвечаю: Нет. Обратите внимание, что это никак не сказывается на ваших криптоактивах — они в безопасности.

Рассмотрим происходящее в мире в большем масштабе, чтобы не компрометировать нашу ответственность. Сейчас очевидно, что человечество вступило в эпоху, в которой кибератаки будут случаться всё чаще. К примеру, в соответствии с рейтингом под названием «Крупнейшие утечки данных и взломы — информация прекрасна», 2020 год стал самым активным годом в истории активности хакеров и мошенников. Соответственно, это глобальная проблема, которая возникла по мере развития цифрового мира, ну а инвестиции в будущее сферы безопасности стали актуальнее, чем когда-либо. И это совпадает с миссией Ledger — мы продолжаем вкладывать деньги и повышать стандарты безопасности. Вдобавок по этой же причине мы не будем возвращать деньги клиентам, как предложили некоторые из них. Самый правильный выход из сложившейся ситуации — продолжать становиться лучше и направлять инвестиции в постоянное совершенствование системы безопасности продукции, которая при этом доступна и для вас.

В итоге этой битвы мы #ОстановимМошенников в свойственном нам стиле. Однако здесь нам нужна поддержка криптовалютного сообщества – то есть ваша.

Мы продолжаем анализировать ситуацию и её составляющие. Обновления по ней в соответствии с нашим обязательством обеспечивать полную прозрачность ситуации публикуются в соответствующей теме на нашем сайте.

Если у вас остались вопросы, ознакомьтесь с разделом частых вопросов. А если нужные ответы отсутствуют и там, свяжитесь с Поддержкой Ledger.

С уважением,
Паскаль Готье,
Генеральный директор Ledger

Version française

Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.

Chers clients Ledger,

Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d’une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce en date de juin 2020.

Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) — nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.

La base de données rendue publique hier montre qu’un plus grand sous-ensemble d’informations détaillées a été divulgué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les logs que nous avons pu analyser.

La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n’a pas changé.

Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j’aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situation.

Au nom de Ledger, je tiens à vous adresser nos profonds regrets pour cette situation. Nous savons que certains d’entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une nuisance. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d’entre vous.

Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.

Soyons clairs : vos crypto-monnaies sont en sécurité.

Cette fuite de données n’a aucun lien ni impact sur vos portefeuilles, l’application Ledger Live ou vos fonds.

Bien que cette situation soit sincèrement regrettable, cette fuite ne concerne que des informations liées au e-commerce.

Les équipes de Ledger s’engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : pendant les derniers mois, nous avons combattu avec vous les scammers (arnaqueurs) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre site et notre blog. Vous pouvez suivre le statut de ces actions sur les campagnes de phishing ici.

Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d’Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et efforts de sécurité : le Programme Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h/24, 7j/7. L’ensemble de nos actions sont listées ici.

Certains d’entre vous ont aussi exprimé des préoccupations à propos d’attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l’émotion créée par cette situation, il est important de comprendre qu’il n’existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.

Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d’attaques physiques, dans la mesure où cela constitue dans l’absolu un risque potentiel. Il existe toute une série de moyens de vous protéger :

• Si vous entrez un code PIN incorrect 3 fois de suite, le terminal se réinitialisera après la troisième tentative incorrecte par mesure de sécurité. (Voir: Reset to factory settings)
  
• Si au lieu d’entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Voir : Ledger 101 — Part 4: Advanced Security Principles)
  
• Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d’accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Voir: Ledger 101 — Part 3: Best Practices When Using a Hardware Wallet)

De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)

Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni téléphone.

Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair : NON. Vos fonds sont en sécurité.

Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes ; elles ont été au plus haut en 2020 (World’s Biggest Data Breaches & Hacks — Information is Beautiful). C’est un problème global croissant auquel nous devons tous faire face avec l’accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C’est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C’est pourquoi nous ne rembourserons pas l’achat des portefeuilles comme certains ont pu le suggérer — mais plutôt que nous continuerons à nous engager dans l’amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.

Dans ce combat #StopTheScammers, fidèle à notre état d’esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.

Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.

Pour toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.

Sincèrement,
Pascal Gauthier,
CEO de Ledger