Misc. | 03/26/2021

Update: Bemühungen, Ihre Daten zu schützen und die Betrüger rechtlich zu verfolgen

English | Français | Español | Deutsch

Data breach

Die Sicherheit von Ledger-Produkten ist beispiellos ist – Ledger Nano-Produkte sind die einzigen Hardware-Wallets, die unabhängig auf dem Markt zertifiziert sind – und bleibt intakt. Allerdings greifen Kriminelle Ledger-Kunden mit Phishing-Versuchen an und nutzen dabei verschiedene Angriffsarten Kürzlich entdeckte Shopify, dass Ledger-Kunden von dem hier von Shopify öffentlich gemachten Shopify-Datendiebstahl betroffen waren, und benachrichtigte Ledger.

<TL;DR>

Zielgerichtete Angreifer werden immer wieder versuchen, über verschiedene Wege auf die Daten von Ledger zuzugreifen, und wir müssen unsere Sicherheitsvorkehrungen weiter verstärken. Dieses Problem betrifft die gesamte Branche und wir müssen es gemeinsam bekämpfen. Ledger wird seinen Beitrag dazu verstärken und verdoppeln.

In diesem Blogpost informieren wir unsere Benutzer über unsere laufenden Maßnahmen zur Stärkung unserer Sicherheitsverfahren und zur Verfolgung der Verantwortlichen für den Datendiebstahl bei uns im Jahr 2020:  

  • Wir kündigen Änderungen in der Art und Weise an, wie Ledger mit Kundendaten umgeht: Unser Ziel ist es, Ihre persönlichen Daten wie Name, Adresse und Telefonnummer so schnell wie möglich vollständig zu löschen. Wir streben an, diese Daten so kurz wie möglich zu halten, um unseren Verpflichtungen gegenüber unseren Kunden (z.  B. Abwicklung Ihrer Bestellung) und den Gesetzen (z. B. Buchhaltung und gesetzlichen Verpflichtungen) nachzukommen. Dies gilt auch für Drittanbieter. Daten, die aufbewahrt werden müssen, werden in eine zusätzlich segregierte Umgebung verschoben.
  • Wir werden ein Messaging-Modell implementieren, über das proaktiv wichtige Sicherheits- und technische Informationen über Ledger Live übertragen werden. E-Mails und soziale Medien werden NUR für die Übertragung von Produktnachrichten und Ankündigungen verwendet.
  • Ledger widmet zahlreiche zusätzliche Ressourcen, um die Verantwortlichen für die Angriffe auf Ledger und Ledger-Kunden zu identifizieren und zu verfolgen, einschließlich eines Belohungsfonds von 10 BTC für Informationen, die zu einer erfolgreichen Verhaftung und Strafverfolgung führen. Wir hoffen, dass andere Unternehmen dem Belohnungsfonds-Programm beitreten und dazu beitragen, die Krypto-Community sicherer zu machen. 

Sicherheitserinnerung: Geben Sie NIEMALS Ihre 24 Wörter an jemanden weiter.  Ledger wird Sie NIEMALS nach Ihren 24 Wörtern fragen.  Wenn jemand, der sich als Ledger ausgibt, nach Ihren 24 Wörtern fragt, ist das ein Krimineller und nicht Ledger. Der EINZIGE Ort, an dem die 24 Wörter Ihres Recovery Seeds eingegeben werden müssen, befindet sich in Ihrem Ledger Nano – NIE IN LEDGER LIVE.

<TL;DR>

In diesem Post werden wir die Ereignisse im Zusammenhang mit unserer Datenpanne so transparent wie möglich zusammenfassen. Das gesamte Ledger-Team arbeitet sehr hart daran, diese Herausforderungen zu lösen.  Dieser Post ist lang, aber wir möchten Ihnen so viele Informationen wie möglich über die Richtung geben, in die Ledger geht, um Ihre Daten zu schützen und die Kriminellen, die diese Verbrechen begehen, zu ertappen und strafrechtlich zu verfolgen.  

1 – Was ist passiert?

Um die Situation kurz zusammenzufassen: Am 14. Juli 2020 kontaktierte uns ein Forscher über unser Belohnungsprogramm, um uns über eine Datenpanne in unserer E-Commerce- und Marketing-Datenbank zu informieren. Wir haben die Datenpanne sofort behoben und interne Untersuchungen eingeleitet. Wir haben festgestellt, dass ein böswilliger Angreifer über den API-Schlüssel eines Drittanbieters unbefugten Zugriff auf unsere E-Commerce- und Marketing-Datenbank erhalten hat.  Durch Forensik von Ledger sowie das Drittanbieter-Forensikunternehmen Orange Cyberdefense konnten wir feststellen, dass mehr als eine Million E-Mail-Adressen und ungefähr 9500 Kundendatensätze, einschließlich Namen, Adressen, bestellter Produkte und Telefonnummern, ebenfalls gestohlen wurden. Wir haben unsere Kunden unverzüglich (29. Juli 2020) benachrichtigt und die forensischen Informationen an die zuständigen Behörden weitergegeben.

Am 20. Dezember 2020 wurde der gesamte Inhalt der gestohlenen Datenbanken in einem Forum öffentlich zugänglich gemacht.  Sobald wir diese vollständigen Datenbanken geprüft hatten, konnten wir feststellen, dass zusätzlich zu den mehr als 1 Million E-Mail-Adressen ungefähr 272.000 Kundendatensätze einschließlich Namen, Adressen und Telefonnummern gestohlen wurden. Unmittelbar nachdem dies entdeckt wurde, warnten wir betroffene Kunden per E-Mail (21. Dezember 2020).

Jetzt haben wir neue Informationen: Am 23. Dezember 2020 erhielten wir von unserem E-Commerce-Dienstleister Shopify eine Benachrichtigung über einen Vorfall mit Händlerdaten, bei dem betrügerische Mitglieder ihres Support-Teams Kundentransaktionsdokumente erhalten haben, einschließlich denen von Ledger. Die Agenten haben im April und Juni 2020 illegal Kundentransaktionsaufzeichnungen exportiert. Laut Shopify hängt dies mit dem Vorfall zusammen, der im September 2020 gemeldet wurde und mehr als 200 Händler betraf. Bis zum 21. Dezember 2020 hatte Shopify jedoch nicht festgestellt, dass Ledger ebenfalls von diesem Angriff betroffen war. Shopify teilt uns mit, dass sie Experten und Anwälte für digitale Forensik beauftragt haben, ihre Ermittlungen in dieser Angelegenheit fortzusetzen, und die Angelegenheit den Strafverfolgungsbehörden in Kanada und den USA gemeldet haben.

Zusammen mit dem Forensikunternehmen Orange Cyberdefense konnten wir feststellen, dass es rund 292.000 Kunden betrifft. Bei der Datenbank handelt es sich zu 93 % um die gleiche Datenbank, die bei dem vorangegangenen Angriff offengelegt wurde. Es wurden jedoch ca. 20.000 neue Kundendatensätze einschließlich E-Mail-Adresse, Name, Postanschrift, bestellte(s) Produkt(e) und Telefonnummer bei diesem Angriff erfasst.

Graphical user interface, diagram  Description automatically generated

Wenn Sie ein Ledger-Produkt nach Ende Juni 2020 gekauft haben oder wenn Sie Ihr Produkt außerhalb von Ledger.com gekauft haben, wurden Ihre Daten bei diesen Vorfällen nicht offengelegt.

Antworten auf häufig gestellte Fragen zu diesen beiden Angriffen finden Sie in den FAQ.  Informationen zu den Arten von Phishing-Angriffen oder zur Meldung eines Phishing-Angriffs an unser Team finden Sie auf dieser Seite.

Während dieser Angriffe bleiben die Ledger-Hardware-Wallets geschützt und Ihre Kryptowährung sicher, SOLANGE SIE IHRE 24 WÖRTER NIEMALS MIT JEMANDEM TEILEN (insbesondere mit jemandem, der vorgibt, Ledger zu sein – Ledger wird Sie niemals nach diesen Informationen fragen).

2 – Von Ledger ergriffene Maßnahmen

In Bezug auf die am 14. Juli entdeckten Datenpanne

Wir haben die Panne am 14. Juli 2020 behoben. Am 17. Juli 2020 haben wir die französische Datenschutzbehörde benachrichtigt. Wir haben am 20. Juli 2020 mit Orange Cyberdefense begonnen, Forensik durchzuführen. Es war erforderlich und vernünftig, die Untersuchung mit Orange Cyberdefense abzuschließen und so viele Fakten wie möglich zu sammeln, bevor wir unsere Kunden über die Datenpanne informierten.

Sobald uns der Abschlussbericht vorlag, haben wir am 29. Juli 2020 eine E-Mail an unseren gesamten E-Mail-Verteiler gesendetWir haben die Medien am selben Tag per Pressemitteilung über die Situation informiert. Wir haben am 5. August 2020 eine Anzeige bei der französischen Staatsanwaltschaft eingereicht.

Zu den Phishing-Kampagnen gegen unsere Kunden

In den letzten Monaten haben wir eine hohe Aktivität von Phishing-Angriffen auf unsere Kunden festgestellt. Wir haben viel kommuniziert, um unsere Kunden per E-Mail, auf unserer Website, innerhalb von Ledger Live sowie auf Twitter, Reddit und anderen Plattformen von Drittanbietern vor diesen Angriffen zu warnen. Wir haben am 22. Oktober 2020 eine E-Mail an unseren gesamten Verteiler bezüglich dieser Phishing-Versuche gesendet. Wir haben uns mit Webdrone, einem auf Business Intelligence und Cyberkriminalität spezialisierten Unternehmen, zusammengetan, um die Autoren von Phishing-Websites zu identifizieren. Wir unterhalten ein laufendes Programm mit Corsearch, um Phishing-Websites schnell über Registrare herunterzufahren. Bisher haben wir 216 Websites geschlossen.

Unser internes Markenschutzteam widmet sich seit dem Beginn ausschließlich den Phishing-Angriffen.  Corsearch arbeitet in unserem Namen mit internationalen Ermittlungsorganisationen zusammen. Am 16. Dezember 2020 haben wir eine spezielle Seite gestartet, auf der die Anatomie dieser Phishing-Angriffe erläutert wird, damit Sie sie identifizieren und alle neuen Angriffe melden können, die Sie erfahren. 

Wir arbeiten mit Chainalysis und anderen Organisationen zusammen, um die von den Betrügern verwendeten Kryptowährungs-Wallets zu verfolgen.  Falls/wenn sie entdeckt werden, werden wir sie den Strafverfolgungsbehörden melden, um Maßnahmen zu ergreifen (zum Beispiel um die Krypto-Assets einzufrieren, falls sie an Börsen landen). 

Wir arbeiten weiterhin mit mehreren privaten Ermittlern zusammen, um die für diese Angriffe verantwortlichen Personen zu finden und strafrechtlich zu verfolgen. Alle gesammelten Hinweise und Informationen werden an die zuständigen Behörden weitergegeben (wenn Sie neue Informationen für uns haben, lesen Sie bitte das unten stehende Belohnungsprogramm).  Für die Phishing-Kampagnen hat Ledger außerdem eine Beschwerde bei der französischen Staatsanwaltschaft eingereicht und teilt regelmäßig die von Ledger und den Ermittlern gesammelten Informationen mit.

Aufgrund dieser Vorfälle hat Ledger im Vergleich zu dieser Zeit im letzten Jahr einen exponentiellen Anstieg der Informationsanfragen verzeichnet. Jede Kommunikation mit unseren Kunden ist uns wichtig und wir möchten auf jeden mit präzisen Informationen antworten. Um dieser Nachfrage gerecht zu werden, haben wir im Jahr 2020 mehr Ressourcen eingestellt und stellen auch im Jahr 2021 weiterhin mehr ein. Es tut uns aufrichtig leid, wenn es Verzögerungen bei der Kundenbetreuung gibt, und wir arbeiten hart daran, alle Anfragen so schnell wie möglich zu beantworten. Wir hoffen, dass dieser Blogpost und die FAQ Ihnen helfen, schnell die Antworten zu finden, nach denen Sie suchen.

Zur Shopify-Datenpanne

Die Untersuchung des Vorfalls bei Shopify ist noch nicht abgeschlossen und wir werden Sie über den Fortgang der Entwicklung weiterhin auf dem neuesten Stand halten. Stand heute: Wir haben die französische Datenschutzbehörde am 26. Dezember 2020 benachrichtigt. Nach Abschluss der Forensik mit Orange Cyberdefense haben wir alle von dieser Datenpanne betroffenen Kunden am 13. Januar 2021 per E-Mail informiert.  Wir arbeiten weiterhin mit Shopify und Staatsanwälten an dem Fall. Eine Untersuchung ist bereits im Gange. Sie wird vom FBI und dem RCMP geleitet wird.  Ledger meldete die Ereignisse auch dem französischen Staatsanwalt und erstattete Anzeige gegen den/die Täter.  Wir arbeiten weiterhin mit Shopify zusammen und haben neue interne Prozesse eingeführt, um die Sicherheit zu erhöhen.

3 – Nächste Schritte

Datenpannen und Phishing-Angriffe sind ein Problem für die gesamte Branche. Wir beschäftigen uns täglich mit diesem Problem und möchten Ihnen heute die ersten Teile unseres neuen Plans vorstellen, der darauf abzielt, den Schutz unserer Kunden zu verbessern.

ZUNÄCHST EINMAL wir würden es vorziehen, Ihre Daten nicht zu besitzen. Ihr Vertrauen ist uns viel mehr wert als das Speichern Ihrer Daten. Wenn Sie Ihr Produkt direkt bei Ledger bestellen, erfassen wir Ihre Daten, damit wir Ihnen Ihre Bestellung zusenden können. Nach den Rechnungslegungsvorschriften und gesetzlichen Verpflichtungen müssen wir die E-Commerce-Kaufdaten für einen bestimmten Zeitraum aufbewahren.  Dennoch ändern wir die Art und Weise, wie wir mit diesen Daten umgehen und gehen damit über die Anforderungen der DSGVO hinaus und verfolgen einen Best-in-Class-Ansatz:

  1. Unser Ziel ist es, Ihre personenbezogenen Daten wie Namen, Adressen und Telefonnummern so schnell wie möglich vollständig zu löschen. Wir streben an, diese Daten so kurz wie möglich zu halten, um unseren Verpflichtungen gegenüber unseren Kunden (z.  B. Abwicklung Ihrer Bestellung) und den Gesetzen (z. B. Buchhaltung und gesetzlichen Verpflichtungen) nachzukommen. Dies gilt auch für Drittanbieter. Daten, die aufbewahrt werden müssen, werden in eine zusätzlich segregierte Umgebung verschoben. Beispielsweise möchten wir Ihre E-Commerce-Bestellinformationen wie Namen, Adressen und Telefonnummern drei Monate nach dem Versand Ihrer Produkte in eine segregierte Umgebung verschieben.
  2. Wir wollen die Anzahl der Orte reduzieren, an denen Ihre personenbezogenen Daten angezeigt werden.  Beispielsweise löschen wir die Namen, Adressen und Telefonnummern aus den Bestellbestätigungs-E-Mails, die wir an Sie senden, damit diese Daten nicht über unseren E-Commerce-E-Mail-Anbieter übertragen werden.
  3. Wir werden ein Messaging-Modell implementieren, über das proaktiv wichtige Sicherheits- und technische Informationen ausschließlich über Ledger Live übertragen werden. E-Mails und soziale Medien werden NUR für die Übertragung von Produktnachrichten und Ankündigungen verwendet.
  4. Wir werden eine detaillierte Neubewertung aller unserer Lieferanten und Partner durchführen, um sicherzustellen, dass sie weiterhin den höchsten Standards entsprechen.

ZWEITENS müssen Diebstähle und Angriffe wie diese untersucht oder strafrechtlich verfolgt werden.  Damit Kryptowährungen sich entwickeln können, muss der Diebstahl von Kryptowährungen mit einer Strafe geahndet werden.  Wir arbeiten weiterhin mit Strafverfolgungsbehörden sowie privaten Ermittlern in diesen Fällen zusammen und fügen mehr Schlagkraft hinzu:

  1. Wir stellen zusätzliche private Ermittler ein und gewinnen somit Erfahrung und neue Ansätze, um die Verantwortlichen für diese Datendiebstähle zu finden.  Wir werden weiterhin mit den globalen Strafverfolgungsbehörden zusammenarbeiten, um die Verantwortlichen zu finden, zu verhaften und strafrechtlich zu verfolgen, wo immer dies möglich ist.
  2. Wir setzen eine Belohnung für neue Informationen, die legal erhalten werden und zur Identifizierung, Verhaftung und erfolgreichen strafrechtlichen Verfolgung der Verantwortlichen für die Angriffe gegen Ledger und unsere Kunden führen.  Ledger hat ein Wallet mit 10 BTC (Adresse: bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc) als erste Belohnung gesetzt. Diese wird nach Ermessen von Ledger ausgezahlt und berücksichtigt Faktoren wie: Wurden die Informationen auf legalem Wege erlangt? Sind sie neu? Wie umfangreich sind die Informationen und inwieweit werden sie dazu beitragen, die Ermittlungen voranzutreiben und eine direkte Möglichkeit zur strafrechtlichen Verfolgung der schuldigen Personen zu schaffen? War diese Verfolgung erfolgreich? Im Allgemeinen unterliegt es den hier verfügbaren Bestimmungen unseres Belohnungsprogramms.
  3. Wir geben unsere Absicht bekannt, bei dieser Initiative mit anderen in der Branche zusammenzuarbeiten.  Wir wenden uns auch an andere Unternehmen und Einzelpersonen in der Branche, um das Belohnungsprogramm für Straftaten gegen die Krypto-Community finanziell zu unterstützen. CEOs anderer Unternehmen im Kryptobereich, wenn Sie sich uns bei diesem Projekt anschließen möchten, setzen Sie sich bitte umgehend mit uns in Verbindung.

Es tut uns sehr leid, dass diese Vorfälle aufgetreten sind und dass sie unseren Kunden Schmerzen oder Stress verursacht haben.  Es ist die Aufgabe von Ledger, Sie zu schützen, und wir nehmen diese Vorfälle sowohl persönlich als auch beruflich sehr ernst.  Wir werden in Kürze eine technische Lösung veröffentlichen, die die 24 Wörter als einzige Säule der Sicherheit unserer Hardware-Wallets entfernt und die Tür zur Finanzierung von Versicherungen für einzelne Kunden öffnet. Diese Angriffe haben unsere Entschlossenheit, Produkte zu entwickeln und zu veröffentlichen, die Sie und Ihre Krypto schützen, nur gestärkt.  Wir haben aufregende, innovative und sichere Produkte und Services, die wir 2021 ankündigen können. Ledger ist weiterhin bestrebt, die sichersten Produkte zu entwickeln und das Krypto-Ökosystem zu schützen. Punkt. 

BITTE nutzen Sie diesen Moment als Erinnerung daran, wachsam zu sein und alle möglichen Schritte zu unternehmen, um sich selbst zu schützen. Während der Wert Ihrer Krypto steigt und mehr Menschen dem Ökosystem beitreten, wird dies weiterhin ein Schwerpunkt sein. Crypto Casey fasst die Situation hervorragend in diesem Video und diesem Podcast zusammen und zeigt, wie Sie sich schützen können.  Bitte unternehmen Sie alle Schritte, um sich und Ihre Krypto zu schützen.

Wir sind alle aus demselben Grund hier: Wir glauben seit langem an den Wert und die Zukunft von Kryptowährung und digitalen Assets.  Wir bei Ledger haben sehr wichtige Lektionen gelernt und werden weiterhin hart daran arbeiten, dass Ihr Vertrauen in uns verdient ist. Wir fühlen uns gedemütigt. Dadurch werden wir stärker und widerstandsfähiger. 

Mit freundlichen Grüßen,

Pascal, Ian, Antoine, Matt, Charles.

Stay in touch

Announcements can be found in our blog. Press contact:
[email protected]