尽管 Ledger 产品具有无与伦比的安全性 – Ledger Nano 是市场上唯一通过独立认证的硬件钱包 – 并且始终不曾被侵入,但犯罪分子也在尝试通过不同手段对 Ledger 客户进行网络钓鱼式攻击。 最近,Shopify 发现 Ledger 客户受到 Shopify 在此披露的 Shopify 数据遭窃事件影响并通知 Ledger。
<TL;DR>
目标明确的敌手会一直从不同角度尝试获取 Ledger 数据,我们必须继续强化安全态势。 这是需要共同应对的全行业问题,Ledger 正在加倍努力,为这场斗争尽自己的一份力量。
我们将通过这篇博客文章向用户通报当前我们为了强化安全实践并为 2020 年数据遭窃伸张正义而采取的行动。
- 现宣布 Ledger 处理客户数据方法的变化: 我们的目标是尽快将您的姓名、地址和电话号码等个人数据彻底删除。 我们要求自己和第三方提供商仅在尽可能短的必要时间内保存此类数据,用于履行我们对客户的义务(例如完成您的订单)和法律事务(例如会计和法律义务)。 需要保留的数据将存储在进一步隔离的环境中。
- 我们将采用一套消息模型,主动通过 Ledger Live 传送重要的安全和技术信息。 电子邮件和社交媒体将仅用于广播产品消息和公告。
- Ledger 正在追加大量资源用于寻找并起诉攻击 Ledger 和 Ledger 客户的责任方,包括 10 BTC 的悬赏基金用于奖励能根据其线索成功逮捕并起诉的线索提供者。 我们希望其他公司加入赏金计划,让加密界更安全。
安全提醒:永远不要将您的 24 个助记词告诉任何人。 Ledger 永远不会要求您提供 24 个助记词。 冒充 Ledger 要求您提供 24 个助记词的一定是罪犯,而不是 Ledger。 Ledger Nano 是唯一必须输入恢复种子的 24 个助记词的地方 – Ledger LIVE 永远不会需要输入。
<TL;DR>
在这篇文章中,我们将以最透明的方法回顾与数据泄露相关的事件。 Ledger 团队全体成员都在努力解决这些挑战。 这是一篇长文,但我们希望尽可能多地为您提供信息,让您了解 Ledger 为保护您的数据安全以及逮捕并起诉实施这些犯罪的罪犯而采取的行动方向。
1- 事件经过
首先简要回顾事件:2020 年 7 月 14 日,一位研究人员通过赏金计划联系我们并告知电子商务和营销数据库发生数据泄露。 我们立即修复了数据泄露并启动内部调查。 我们发现恶意攻击者通过第三方 API 密钥未经授权访问了我们的电子商务和营销数据库。 通过 Ledger 和第三方取证公司 Orange Cyberdefense 共同取证,我们识别出的遭窃数据包括逾 100 万个电子邮件地址和包括姓名、地址、订购的产品和电话号码在内的大约 9500 条客户记录。 我们立即(2020 年 7 月 29 日)通知客户,并与相关主管部门共享了取证信息。
2020 年 12 月 20 日,某论坛上公布了遭窃数据库的全部内容。 看到这些完整的数据库后,我们发现除了逾 100 万个电子邮件地址之外,还有大约 272,000 条客户记录(包括姓名、地址和电话号码)被盗。 发现此信息后,我们尽快通过电子邮件(2020 年 12 月 21 日)向受影响的客户发送警告。
现在,我们要分享一些新信息:2020 年 12 月 23 日,我们收到电子商务服务提供商 Shopify 关于商家数据事件的通知,称其客服团队有一名或多名成员丧失原则,取得了包括 Ledger 在内的客户交易记录。 一名或多名支持人员于 2020 年 4 月和 6 月非法导出客户交易记录。 据 Shopify 称,此事与 2020 年 9 月 报告的事件有关,涉及 200 多家商家,但直到 2020 年 12 月 21 日,Shopify 才发现 Ledger 也是此次攻击的目标。 Shopify 告诉我们,他们聘请了数字取证专家和法律顾问继续调查此事,并已将此事报告给加拿大和美国的执法部门。
我们与取证公司 Orange Cyberdefense 合作确认此次攻击大约影响了 292,000 名客户。 虽然该数据库与上次攻击中暴露的数据库相似度为 93%,但此次侵入涉及大约 20,000 条新的客户记录,其中包括电子邮件、姓名、邮政地址、订购的产品和电话号码。
如果您在 2020 年 6 月之后购买了 Ledger 产品,或者您是在 Ledger.com 之外购买的产品,则您的数据并未在这些事件中暴露。
有关这两种攻击的常见问题解答,请访问常见问题解答。 要了解正在实施的网络钓鱼式攻击的类型,或向我们的团队报告网络钓鱼式攻击,请参阅此页面。
此类攻击从未能侵入 Ledger 硬件钱包,只要您从不与任何人分享您的 24 个助记词(尤其是 Ledger 的冒充者 – Ledger 永远不会要求您提供此信息),您的加密货币就是安全的。
2- Ledger 所采取的行动
关于 7 月 14 日发现的数据泄露事件
我们于 2020 年 7 月 14 日发布补丁修复了漏洞。 2020 年 7 月 17 日,我们通知了法国数据保护局。 我们于 2020 年 7 月 20 日开始与 Orange Cyberdefense 合作进行取证。 在向客户通报数据泄露事件之前,我们有必要以谨慎的态度与 Orange Cyberdefense 完成调查并收集尽可能多的事实。
收到最终报告后,我们立即于 2020 年 7 月 29 日向电子邮件数据库中的全部地址发送电子邮件。同一天,我们通过新闻稿向媒体通报了情况。 2020 年 8 月 5 日,我们向法国公诉人提交起诉。
关于针对我们客户的网络钓鱼式攻击
最近几个月,我们发现针对客户的网络钓鱼式攻击非常频繁。 我们通过电子邮件、网站、Ledger Live 以及 Twitter、Reddit 和其他第三方平台进行了大量沟通,就此类攻击向客户发出警告。 2020 年 10 月 22 日,我们向整个数据库发送电子邮件通报此类网络钓鱼式攻击企图。 我们与专门应对商业智能与网络犯罪的 Webdrone 合作确认网络钓鱼式攻击网站的作者。 为了通过注册商迅速关闭网络钓鱼网站,我们与 Corsearch 开展专项计划,迄今为止已经关闭了 216 个网站,并且仍在继续。
我们的内部品牌保护团队从一开始就致力于专门应对网络钓鱼式攻击。 Corsearch 代表我们与国际调查组织合作。 2020 年 12 月 16 日,我们推出了用于分享网络钓鱼式攻击剖析的专门页面,帮助您识别任何新出现的攻击行为并进行报告。
我们正在与 Chainalysis 以及其他组织合作追踪诈骗者使用的加密货币钱包。 一旦有所发现,我们就会向执法部门报告,以便采取行动(例如,在加密资产进入交易所时将其冻结)。
我们继续与数名私人调查员合作寻找和追踪对这些攻击负责的个人。 我们收集到的所有线索和信息都会与有关部门共享(如果您有新的信息要向我们提供,请参阅下文所述的赏金计划)。 Ledger 还向法国检察官就网络钓鱼式攻击活动提交了投诉,并定期分享 Ledger 和调查人员收集到的信息。
由于这些事件,Ledger 收到的信息请求相比去年同期呈指数级增长。 对我们而言,与客户的每一次沟通都很重要,我们希望以准确的信息回应每一位客户。 为了满足这一需求,我们在 2020 年聘用了更多人员,并将在 2021 年继续招聘。 如果您联系客服时遭遇延迟,我们对此深表歉意,我们正在努力尽快回复每一个人。 我们希望这篇博客文章和常见问题解答能帮助您立即找到所需答案。
关于 Shopify 数据泄露
Shopify 的相关事件正在调查中,我们将跟随情况进展持续为您提供最新信息。 截至今日:我们于 2020 年 12 月 26 日通知了法国数据保护局。 与 Orange Cyberdefense 合作完成取证后,我们于 2021 年 1 月 13 日通过电子邮件通知了所有受此漏洞影响的客户。 我们将继续与 Shopify 和检察官合作处理此案;联邦调查局和皇家骑警也已经牵头展开调查。 Ledger 还向法国检察官报告了这些事件,并提交了针对违规支持人员的起诉。 我们将继续通过新的内部流程与 Shopify 合作,确保增强安全性。
3- 后续步骤
数据泄露和网络钓鱼式攻击是全行业所面临的问题。 每一天我们都在努力解决此问题,今天我们想与您分享的,是一项加强客户保护新计划的开始。
首先,我们并不倾向于拥有您的数据;对我们而言,取得您的信任比持有您的数据更有价值。 我们会在您直接从 Ledger 订购产品时收集您的信息,以便为您发货。 会计法规和法律义务要求我们将电子商务的购买数据保留一段时间。 尽管如此,我们仍在改变这些数据的处理方法,以期实现超越 GDPR 的原则并采用业内最佳方法:
- 我们的目标是尽快将您的姓名、地址和电话号码等个人数据彻底删除。 我们要求自己和第三方提供商仅在尽可能短的必要时间内保存此类数据,用于履行我们对客户的义务(例如完成您的订单)和法律事务(例如会计和法律义务)。 需要保留的数据将存储在进一步隔离的环境中。 例如,我们的目标是在产品发货后将您的电子商务订单信息(如姓名、地址、电话号码)置于隔离环境中三个月。
- 我们将减少展示您个人信息的地方。 例如,在向您发送电子邮件以确认订单时,我们会删除其中的姓名、地址和电话号码,以免我们的电子商务电子邮件提供商经手这些信息。
- 我们将采用一套消息模型,主动仅通过 Ledger Live 传送重要的安全和技术信息。 电子邮件和社交媒体将仅用于广播产品消息和公告。
- 我们将对所有供应商和合作伙伴进行详细的重新评估,确保他们维持最高标准。
第二,此类盗窃和攻击行为必须得到调查和起诉。 加密货币要想蓬勃发展,盗窃加密货币的行为就必须付出代价。 我们继续就此类案件与执法部门和私人调查员合作,同时也在扩充我们的火力:
- 我们聘用了更多私人调查力量,借助更多的经验和不同的方法来搜寻应当对数据盗窃负责的人。 我们将继续与全球执法部门合作,尽可能地搜寻、逮捕并起诉责任人。
- 对于通过合法途径获取的新信息,如果能够据此信息识别、逮捕并成功起诉攻击 Ledger 和 Ledger 客户的责任方,我们将为其提供赏金。 Ledger 已拿出包含 10 BTC 的钱包(地址:bc1qappeev2uut3md3622wtmxllwtn7ctqdhwv0xsc)作为初始的赏金储备。 是否支付将由 Ledger 在考虑以下因素后自行决定 – 信息获取途径是否合法? 是否为新信息? 这些信息有多重要?它将在多大程度上推进调查并有能力直接用于起诉个人? 起诉是否成功? 更笼统地讲,这将受此处提供的赏金计划条款约束。
- 我们宣布了与其他行业人士就此计划展开合作的意向。 我们正在联系行业内的其他公司与个人,讨论为这项针对加密货币社区犯罪的赏金计划持续提供支持事宜。 加密货币行业其他公司的各位首席执行官,如果您想加入我们的项目,请尽快与我们联系。
对于发生此类事件,以及客户因此遭受的任何痛苦或压力,我们深表歉意。 确保您的安全是 Ledger 的使命,无论出于个人情感还是职业立场,我们都非常重视这些事件。 我们将很快发布技术解决方案,该方案将移除作为我们硬件钱包安全性单一支柱的 24 个助记词,并向个人客户敞开资金保险的大门。 此类攻击更加坚定了我们的决心,我们将打造并推出能够确保您和加密货币安全的产品。 我们将在 2021 年推出令人兴奋且安全的创新产品和服务。 Ledger 仍然致力于打造最安全的产品并保护加密货币生态系统。 以上就是整个事件的来龙去脉。
请铭记此刻,时刻提醒自己保持警惕并采取一切可能的措施来保护自己。 随着您的加密货币增值以及更多人加入生态系统,这仍然会是万众瞩目的焦点领域。 Crypto Casey 在此视频和播客中出色地总结了当前情况并介绍了如何保护自己。 请采取一切措施确保您和您的加密货币安全。
我们都出于同样的原因来到这里:我们长期相信加密货币和数字资产的价值和未来。 Ledger 已经吸取了非常重要的教训,并将继续努力确保不会辜负您对我们的信任。 我们心中有愧。 因此我们也会变得更强大、更坚韧。
此致
Pascal、Ian、Antoine、Matt、Charles 敬上