6 способов борьбы с последствиями утечки данных

English | Français | Español | Deutsch

Как вы наверняка знаете, Ledger стала жертвой утечки данных из базы интернет-магазина и отдела маркетинга летом 2020 года. В результате этого немалый объём пользовательских данных оказался в руках хакеров.

20 декабря 2020 года они опубликовали базу данных пользователей Ledger на Raidforum, платформе сообщества хакеров. В связи с этим после слива данных стартовала новая волна фишинговых атак по отношению к клиентам Ledger.

Мы обращаемся к пользователям, чьи данные оказались в слитой базе. Безусловно, это неприятное событие, которое в том числе может стать поводом для страха. Однако мы в Ledger призываем вас не паниковать. Нам очень жаль, что так произошло, вдобавок мы уже запустили необходимые процедуры для борьбы с последствиями случившегося.

Вот шесть рекомендаций, которые помогут справиться с этой ситуацией.

1. Сохраняйте спокойствие

Мошенники всегда стараются сыграть на страхе, чтобы заставить вас действовать впопыхах и допустить ошибку. Поэтому сохраняйте спокойствие, не паникуйте и никогда не принимайте важные решения по давлением.

Стресс и спешка — залог ошибок. Так что если вы заняты важными делами по типу изменения паролей или создания резервной копии, обязательно действуйте размеренно. Благодаря этому получится убедиться, что все выполняемые действия правильные.

Важно помнить, что ваши монеты находятся в безопасности ровно до тех пор, пока они хранятся за пределами интернета. В то же время аппаратные кошельки — это лучший вариант для хранения цифровых активов. Соответственно, отправка монет с устройств на криптовалютные биржи или софтверные кошельки сделает их более уязвимыми.

Как и всегда, устройства Ledger обеспечивают самый высокий уровень защиты криптоактивов, а утечка данных из базы интернет-магазина и отдела маркетинга компании никак не сказывается на надёжности аппаратных кошельков. Вам лишь остаётся убедиться, что устройство Nano и фраза восстановления из 24 слов хранятся в безопасном месте, недоступном для других.

2. Никогда не раскрывайте мнемоническую фразу

Как уже было сказано ранее, утечка данных никак не сказывается на надёжности аппаратных кошельков Ledger и приложения Ledger Live, так что ваши криптоактивы в безопасности. Соответственно, злоумышленники не могут добраться до ваших конфиденциальных данных по типу фраз восстановления и приватных ключей. Исключением станут ситуации, при которых вы сделаете это самостоятельно.

Вы — единственный, кто контролирует эти данные и доступ к ним. Поэтому будет крайне внимательными и бдительными, поскольку мошенники могут нагрянуть в любой момент. Никогда не делитесь вашей фразой восстановления из 24 слов с кем-либо. Ledger никогда не запрашивает у пользователей фразу восстановления — и в том числе через приложение Ledger Live. Ledger никогда не будет связываться с вами через СМС или по телефону.

Для дополнительной безопасности рекомендуем изучить структуру актуальных фишинговых атак, с которыми можно столкнуться. Она разобрана на отдельной странице по ссылке.

В целом мы в Ledger отправили два отдельных электронных письма, в которых были описаны подробности утечки данных для тех, кого она затронула. Первое письмо предназначалось миллиону пользователей, чьи электронные адреса были раскрыты в ходе атаки. Второе письмо отправилось небольшой части клиентов, для которых утечка данных оказалась более значимой.

Считаете, что утечка данных вас затронула, но при этом вы не получили письмо от Ledger? В таком случае перейдите на платформу Have i been pwned? — она поможет узнать, касается ли вас взлом, и какие меры необходимо принять при необходимости.

3. Укрепите собственную безопасность

Если ваш Email был раскрыт в ходе утечки данных, рекомендуем изменить пароль для доступа к нему. При выборе нового пароля используйте комбинацию букв, включая прописные, а также цифры и символы. Всё это позволит повысить уровень безопасности.

Вдобавок рекомендуется использовать двухфакторную аутентификацию, также известную как 2FA. В таком случае для доступа к электронной почте или любому другому сервису необходимо ввести дополнительное подтверждение своей личности: речь идёт об обычном пароле и дополнительной комбинации. При этом роль последней может выполнять уникальный код по СМС, уведомление на смартфоне или же случайная последовательность цифр из соответствующего приложения на мобильном устройстве.

Мы не рекомендуем использовать 2FA в паре с SMS-сообщениями, поскольку в таком случае есть риск мошенничества с заменой SIM-карты. Безопаснее выбрать специальное приложение по типу Google Authenticator, решение с открытым исходным кодом под названием FreeOTP или же физический ключ. К тому же при желании гарантировать безопасность различных учётных записей с 2FA получится при помощи устройства Ledger. В этом поможет специальное руководство.

Также можно рассмотреть возможность создания нового адреса электронной почты, не забывая об изложенных выше рекомендациях.

4. Никогда не платите хакерам и мошенникам

Увы, некоторые хакеры и мошенники пробили очередное дно: они решили угрожать отдельно взятым клиентам компании Ledger. Причём быть жертвой подобных угроз действительно неприятно и страшно.

Однако напоминаем, что мошенники пытаются заполучить деньги с помощью методов, требующих как можно меньших усилий. И в данном случае такие фишинговые атаки позволяют скамерам связываться с огромным количеством потенциальных жертв при отсутствии нужды прибегать к реальному физическому контакту. Соответственно, они просто угрожают на словах. В частности, утечка базы данных произошла в июне 2020 года, и с тех пор мы не получили ни одной жалобы о подобных инцидентах. А значит тактика мошенников остаётся прежней.

Если вы храните существенные объёмы криптовалюты на аппаратном кошельке, рекомендуем хранить его в надёжном месте за пределами дома. Не стали бы вы держать миллионы долларов наличными под матрасом, правда ведь?
К тому же мы настойчиво рекомендуем не выплачивать какие-либо выкупы. Ну а если вы ощущаете себя в физической опасности и столкнулись с реальными угрозами, незамедлительно свяжитесь с представителями правоохранительных органов.

5. Подготовьте почву для правдоподобного отрицания

Если вы боитесь стать жертвой вымогательства, здесь также можно себя обезопасить. В частности, устройства Ledger позволяют добавить дополнительный уровень защиты к фразе восстановления из 24 слов — речь идёт о парольной фразе.

Благодаря ей у вас будет две фразы восстановления: одна будет разблокировать доступ к обычному наберу счетов, в то время как вторая будет генерировать новый сид и разблокировать альтернативный набор счетов. У него будут другие приватные ключи и адреса, как отмечено в отдельной статье.

Соответственно, если вас когда-нибудь будут заставлять разблокировать аппаратный кошелёк для вывода с него всех монет под угрозой физического насилия, можно использовать первый код для показа счетов с небольшими балансами. Это позволит ограничить финансовые потери.

6. Используйте распределённые резервные копии для доступа к монетам

Представим, что вы опасаетесь ограбления квартиры или просто не можете найти безопасное место для хранения фразы восстановления. В таком случае можно разделить мнемоническую фразу на несколько частей и держать их в разных локациях. К примеру, фраза восстановления из 24 слов делится на три группы по 8 слов, которые можно хранить в трёх местах. Однако это также увеличивает риск потери резервной копии доступа к криптоактивам. Всё же если один набор слов потеряется, восстановить мнемоническую фразу уже не получится.

Куда безопаснее разделить мнемоническую фразу на три части, но при этом быть в состоянии восстановить её с помощью двух наборов слов.

Чтобы понять логику этой схемы, необязательно быть гением.

Допустим в качестве примера, что ваша фраза восстановления состоит из трёх слов — «А», «Б» и «В». В таком случае делаем три листа для фразы восстановления в виде комбинаций двух букв. То есть «А Б _», «А _ В» и «_ Б В». На этом всё: если взять отсюда два любых листа, получится составить полную фразу восстановления.

Подробнее эта схема вместе с полезными рекомендациями по ней описана в отдельном онлайн-руководстве.

И напоследок

Эта ситуация крайне неприятна для нас, и мы благодарим каждого, кто продолжает в нас верить. Мы также обращаемся к каждому пользователю устройств Ledger и хотим заверить, что прикладываем максимум усилий, чтобы подобное больше никогда не повторилось. Мы делаем всё возможное, чтобы оправдать ваше доверие.

В итоге данный урок сделает Ledger лучше, ну а мы сможем радовать вас лучшими и ещё более безопасными решениями для взаимодействия с криптовалютами.