LEDGER’ın CEO’sundan Mesaj: Temmuz ayı veri ihlali hakkında bilgilendirme. Sızıntıya rağmen kripto varlıklarınız güvende.

Değerli Ledger müşterileri,

Bildiğiniz üzere, Ledger’a karşı yapılan bir siber saldırı 2020 yılının Temmuz ayında bir veri ihlaline yol açtı. Dün, Ledger’a ait bir müşteri veritabanının içeriklerinin Raidforum’da yayınladığı tarafımıza bildirildi. Bunun, 2020 yılının Haziran ayında sızdırılan e-ticaret veritabanımızın içeriği olduğuna inanıyoruz.

Olayın yaşandığı Temmuz ayında, mevcut log’lar üzerinde adli inceleme yapılması için bir üçüncü taraf güvenlik kuruluşuyla irtibata geçtik. Log’ların incelenmesi sonucunda, yaklaşık 1 milyon e-posta adresinin ve özellikle tespit edebildiğimiz 9.532 kullanıcıya ait detaylı kişisel bilgilerin (posta adresleri, ad, soyadı ve telefon numarası) çalınmış olduğu doğrulandı.

Dün kamuya açık şekilde yayınlanan veritabanı, sızdırılan detaylı kişisel bilgilerin daha büyük bir kullanıcı grubuna ait olduğunu gösterdi. Yaklaşık 272 bin müşterimizin posta adresi, adı, soyadı ve telefon numarası gibi detaylı kişisel bilgileri yayınlandı. Olayın yaşandığı sırada analiz edebildiğimiz log’larda bu bilgiler bulunmuyordu. Faaliyetlerimizin ve iletişimlerimizin en büyük önceliği şeffaflıktır. Bu değişmedi.

Son birkaç saat içerisinde bu olayla ilgili çıkan söylentiler ve yapılan çeşitli yorumları bir kenara bırakarak, bu durumun gerçekliğini daha iyi anlamak adına birkaç basit ama temel şeyden bahsetmek istiyorum.

Ledger olarak, bu durumdan dolayı son derece üzgünüz. Birçok kullanıcımızın e-posta ve SMS yoluyla oltalama girişimlerine hedef olduğunun bilincindeyiz ve bunun can sıkıcı bir durum olduğunun farkındayız. Bu ihlalin en iyi ihtimalle hayal kırıklığı yarattığını ve en kötü ihtimalle de sizi öfkelendirdiğini tahmin ediyorum.

Birinci önceliğimiz, her zaman dijital varlıklarınız için en iyi korumayı ve güvenliği sağlamaktır. Açık bir şekilde ifade etmek gerekirse: Donanım cüzdanlarımızın, uygulamanın veya fonlarınızın bu veri ihlaliyle bağlantısı yoktur ve hiçbir şekilde etkilenmemiştir. Kripto varlıklarınız güvendedir. Gerçekten ve samimiyetle üzücü bir durum olduğunu kabul ediyoruz ancak bu ihlalin sadece e-ticaretle alakalı bilgileri kapsadığını bilmenizi isteriz.

Ledger olarak, veri güvenliğimizi daha da güçlendirmek adına üstün bir çaba sergiliyoruz: Son birkaç ayı 24 kelimenizi çalmaya çalışan dolandırıcılarla savaşarak geçirdik. Bu konuda daha detaylı bilgilere web sitemizden ve blog sayfamızdan ulaşabilirsiniz. Devam etmekte olan oltalama girişimlerinin durumunu artık tek bir sayfadan kontrol edebilirsiniz: Devam eden oltalama girişimleri. Buna ek olarak, yeni CISO (Bilgi Güvenliği Direktörü) pozisyonumuz için dünyanın en iyi isimlerinden birini ekibimize kattık ve birkaç gün içinde aramıza katılacak. Güvenlik kaynaklarımızı ve faaliyetlerimizi daha da güçlendiriyoruz. Ödül Programımız, “Dungeon” (Zindan) ve tüm prosedürler sayesinde sistemlerimizi 7/24 teste tabi tutacağız. Tüm bu eylemlerin listesini burada görebilirsiniz: Oltalama Girişimlerine Karşı Cephe.

Bazı kullanıcıların kargo adreslerinin sızdırılmış olmasından dolayı, potansiyel fiziksel saldırılarla ilgili endişelerinizi de bildirdiniz. Bu durumun yarattığı sıkıntıları anlıyoruz ancak sızdırılan veriler ile cüzdanınızdaki fonlar arasında bir bağlantı kurmanın herhangi bir yolu olmadığını önemle bilmenizi isteriz.

Ledger, ne olursa olsun her zaman potansiyel bir tehdit olan fiziksel saldırı tehditlerine de karşı koyacak şekilde tasarlandı. Kendinizi korumak için kullanabileceğiniz çeşitli özellikler ve yöntemler bulunmaktadır:

• PIN kodunu üst üste üç kez yanlış girerseniz üçüncü yanlış denemeden sonra bir güvenlik önlemi olarak cihazınız sıfırlanır.
  (Bkz. Fabrika ayarlarına sıfırlama)

• Makul Reddedilebilirlik: Her ihtiyacınız olduğunda passphrase girmek yerine, passphrase’i Ledger cihazınızda ikinci bir PIN koduna bağlayabilirsiniz. Bunun sonucunda da geçerli iki ayrı PIN kodunuz olur ve biri normal hesaplarınızın, diğeri de alternatif hesaplarınızın kilidini açar.
  (Bkz. Ledger 101 — 4. Bölüm: İleri Seviye Güvenlik İlkeleri)

• Son olarak, Kurtarma kağıdınızı güvende tutmak için evdeki bir kasada saklamayın. Banka kasaları çok daha güvenlidir. Yedeklerinize anında erişememeniz fiziksel saldırılara karşı dayanıklılığınızı arttırır.
  (Bkz. Ledger 101 — 3. Bölüm: Donanım Cüzdan Kullanırken En İyi Uygulamalar)

Yaşadığımız son olaylara rağmen, evinizde yüksek miktarda değer tutuyorsanız güvenlik planlarınızı düzenli olarak gözden geçirmenizi ve her zaman sektördeki en iyi standartları uygulamanızı tavsiye ediyoruz. Bu konuda daha detaylı bilgilere https://www.ledger.com/academy ve https://www.ledger.com/ sayfalarımızdan ulaşabilirsiniz.

Bununla birlikte, karşılaşabileceğiniz saldırıların büyük bir çoğunluğunun 24 kelimenizi çalmaya çalışan online dolandırıcılık girişimleri olacağını söylemek gerekir. Şunu ne kadar söylesek azdır: 24 kelimenizi ASLA ve KİMSEYLE paylaşmayın. Ledger’la bile. Biz sizden bu bilgiyi asla istemeyiz. Ayrıca, Ledger sizinle asla SMS mesajı veya telefon çağrısıyla iletişim kurmaz. 24 kelimenizi asla paylaşmamış olsanız bile fonlarınızın etkilenip etkilenmeyeceğini soranlar oldu. Bu konuda çok açık olacağım: Hayır. Fonlarınız güvendedir.

Hem konuyu netleştirmek hem de sorumluluğumuzu reddetmemek adına, siber saldırıların çok daha sık yaşandığı bir döneme girmiş olduğumuz apaçık ortada. Siber saldırıların sayısı 2020 yılında tüm zamanların zirvesine çıktı (Dünyanın En büyük Veri İhlalleri ve Hack’leri — Bilgi Güzeldir) Bu, dünyanın hızlı bir şekilde dijitalleşmesiyle global çapta yaşanan bir sorun. Güvenliğin geleceğine yatırım yapmak her zamankinden çok daha gerekli ve acil bir hâle geldi. Ledger’ın misyonu da tam olarak bu: Güvenlik standartlarımızı iyileştirmek için sürekli yatırım yapıyoruz. İşte tam bu sebepten dolayı, bazı tarafların önerdiğinin aksine müşterilerimize para iadesi yapmayacağız. Bunun yerine, sunabileceğimiz en iyi ve en samimi şeyi sunacak, kendimizi daha da iyi iş çıkarmaya adayacak ve sizler için ürettiğimiz ürünlerin güvenliğini iyileştirmek için sürekli olarak yatırım yapmaya devam edeceğiz.

#StopTheScammers (Dolandırıcıları Durdur) mücadelesinde, bizim ve kripto topluluklarının ezelden beri benimsedikleri bir ruhla, sizin de yanımızda olmanıza ihtiyacımız var.

Bu konuda yaşanan son gelişmeleri tamamen şeffaf bir şekilde topluluğumuzla paylaşmaya devam etmek adına, analizlerimiz sonucunda ortaya çıkan son bulguları burada bulabilirsiniz: https://www.ledger.com/phishing-campaigns-status.

Eğer sormak istediğiniz başka herhangi bir şey olursa lütfen öncelikle SSS sayfamızı ziyaret edin. Sorunuza cevap bulamazsanız müşteri destek ekibimize ulaşmaktan lütfen çekinmeyin.

Saygılarımızla,
Pascal Gauthier
CEO, Ledger

Version française

Malgré la fuite de données du mois de juillet, vos crypto-actifs sont en sécurité.

Chers clients Ledger,

Comme vous le savez, Ledger a été la cible de cyber-attaques entraînant une fuite de données en juillet dernier. Hier, nous avons été informés que le contenu d’une base de données clients Ledger avait été publiée sur Raidforum. Ces données correspondraient à des contenus issus de notre base de données e-commerce en date de juin 2020.

Au moment de l’incident, en juillet, nous avons engagé une organisation de sécurité externe pour effectuer un examen très précis des informations (logs) disponibles. Cet examen nous a permis de confirmer qu’environ 1 million d’adresses e-mail avaient été volées et que 9 532 clients étaient concernés par une fuite d’informations personnelles plus détaillées (adresses postales, nom, prénom et numéro de téléphone) – nous avons pu identifier spécifiquement ces personnes et elles ont été notifiées.

La base de données rendue publique hier montre qu’un plus grand sous-ensemble d’informations détaillées a été divulgué. Ce sont environ 272 000 utilisateurs qui sont concernés. Ces détails ne sont pas disponibles dans les logs que nous avons pu analyser.

La transparence dans nos opérations et nos communications a toujours été une priorité. Cela n’a pas changé.

Face aux rumeurs et aux diverses interprétations de cet événement sur ces dernières heures, j’aimerais rappeler quelques éléments simples mais fondamentaux pour remettre en perspective la réalité de cette situation.

Au nom de Ledger, je tiens à vous adresser nos profonds regrets pour cette situation. Nous savons que certains d’entre vous ont été visés par des campagnes de phishing par email et sms, qui constituent clairement une nuisance. Nous sommes conscients que cet événement peut représenter un désagrément pour certaines et certains d’entre vous.

Notre priorité numéro 1 réside dans le fait de vous apporter la meilleure protection et sécurité pour protéger vos données digitales.

Soyons clairs : vos crypto-monnaies sont en sécurité.

Cette fuite de données n’a aucun lien ni impact sur vos portefeuilles, l’application Ledger Live ou vos fonds.

Bien que cette situation soit sincèrement regrettable, cette fuite ne concerne que des informations liées au e-commerce.

Les équipes de Ledger s’engagent chaque jour à faire tout ce qui est dans leur pouvoir pour renforcer encore davantage la sécurité de nos données : pendant les derniers mois, nous avons combattu avec vous les scammers (arnaqueurs) face à leurs tentatives de récupérer vos 24 mots. Cela a été documenté de façon extensive sur notre site et notre blog. Vous pouvez suivre le statut de ces actions sur les campagnes de phishing ici.

Nous avons également recruté un talent international comme Responsable de la Sécurité des Systèmes d’Information qui nous rejoindra dans les tous prochains jours. Nous renforçons en permanence nos ressources et efforts de sécurité : le Programme Bounty, le Donjon et toutes les procédures de test de nos systèmes 24h/24, 7j/7. L’ensemble de nos actions sont listées ici.

Certains d’entre vous ont aussi exprimé des préoccupations à propos d’attaques physiques potentielles dès lors que certaines adresses postales auraient fuité. Si nous comprenons l’émotion créée par cette situation, il est important de comprendre qu’il n’existe aucun moyen de faire une corrélation entre les données qui ont fuité et les fonds sur votre portefeuille.

Indépendamment de cette situation, Ledger a été conçu en ayant en tête les menaces d’attaques physiques, dans la mesure où cela constitue dans l’absolu un risque potentiel. Il existe toute une série de moyens de vous protéger :

• Si vous entrez un code PIN incorrect 3 fois de suite, le terminal se réinitialisera après la troisième tentative incorrecte par mesure de sécurité. (Voir: Fabrika ayarlarına sıfırlamak)
  
• Si au lieu d’entrer votre phrase de sécurité à chaque fois, vous pouvez la rattacher à un second code PIN sur votre terminal Ledger. Cela revient à détenir deux codes PIN : un qui ouvre vos comptes normaux et un qui ouvre une version alternative de vos comptes. (Voir : Ledger 101 — 4. Bölüm: İleri Seviye Güvenlik İlkele)
  
• Enfin, ne conservez pas votre feuille de récupération chez vous. Un coffre à la banque est plus sûr. Ne pas avoir d’accès immédiat à vos backups renforce votre résilience par rapport aux menaces physiques. (Voir: Ledger 101 — 3. Bölüm: Donanım Cüzdan Kullanırken En İyi Uygulamalar)

De manière générale et indépendamment des événements, si vous gardez beaucoup de valeur chez vous, nous vous invitons à évaluer régulièrement votre propre système de sécurité et de toujours appliquer les meilleurs standards du marché. (Vous pourrez trouver des informations pertinentes à ce sujet sur https://www.ledger.com/academy & https://www.ledger.com/.)

Ceci étant dit, la majeure partie des attaques que vous recevrez seront des arnaques en ligne qui essaieront de récupérer vos 24 mots. Nous ne le dirons jamais assez : le plus important est de ne jamais partager vos 24 mots avec personne. Même pas Ledger. Nous ne nous les demanderons jamais. De même, Ledger ne vous contactera jamais par SMS ni téléphone.

Nous avons reçu de nombreuses questions pour nous demander si les fonds pouvaient être affectés sans jamais partager les 24 mots. Je vais être très clair : NON. Vos fonds sont en sécurité.

Pour remettre les choses en perspective et sans sous-estimer notre responsabilité, force est de constater que nous sommes entrés dans une nouvelle ère dans laquelle les cyber-attaques devraient être de plus en plus fréquentes ; elles ont été au plus haut en 2020 (Dünyanın En Büyük Veri İhlalleri ve Hack’leri — Bilgi Güzeldir). C’est un problème global croissant auquel nous devons tous faire face avec l’accélération digitale. Investir dans le futur de la sécurité est plus nécessaire et urgent que jamais. C’est précisément le cœur de la mission de Ledger : nous investissons pour améliorer en permanence les standards de sécurité. C’est pourquoi nous ne rembourserons pas l’achat des portefeuilles comme certains ont pu le suggérer – mais plutôt que nous continuerons à nous engager dans l’amélioration continue qui nous caractérise et à investir afin de vous offrir des produits garants de toujours plus de sécurité.

Dans ce combat #StopTheScammers, fidèle à notre état d’esprit et celui de la communauté crypto, nous avons besoin de vous à nos côtés.

Nous ne manquerons pas de vous communiquer toute nouvelle information nécessaire sur ce sujet dans une logique de totale transparence avec nos communautés, notamment sur https://www.ledger.com/phishing-campaigns-status.

Pour toute question complémentaire, nous vous invitons à lire la page FAQ dédiée à ce sujet. Nous nous tenons également à votre disposition avec notre service clients.

Sincèrement,
Pascal Gauthier,
CEO de Ledger