莱杰(Ledger)新任首席信息安全官(CISO)的马特·约翰逊(Matt Johnson)别无选择,只能站稳脚跟,不仅要冲刺,而且要冲刺。在他工作的第一周,他仔细研究了从大量客户信息数据转储产生的影响,以及数据安全性和比特币抽水带来的更多攻击等其他领域。
在公司历史上最大的黑客事件发生后,即约翰逊开始任职后的一个多星期,硬件钱包公司Ledger宣布了其第一项措施,以解决数据泄露问题并确保不再发生此类黑客事件。
这些措施包括与区块链分析公司Chainalysis合作以搜寻黑客,提供10 BTC赏金以获取导致黑客被捕的信息,并对公司持有的信息,存储的位置和保留的时间进行全面审查。
同时,莱杰透露,由于电子商务合作伙伴Shopify的流氓行为,已经暴露了20,000个新客户记录,包括电子邮件,姓名,邮政地址和电话号码以及订购的产品。
Ledger公开披露,客户信息已在2020年7月遭到破坏。当时,该公司估计有9,500名客户受到黑客攻击。在接下来的几个月中,CoinDesk记录了一系列由黑客执行的令人信服的网络钓鱼尝试,包括模仿Ledger官方信件和电子邮件的电子邮件。
通过注册,您将收到有关CoinDesk产品的电子邮件,并且您同意我们的条款&条件和隐私政策。
然后,到2020年12月,数据转储“暴露了100万个电子邮件地址和272,000个名称,邮寄地址和电话号码,这些人属于订购Ledger设备的人,这些设备存储了加密货币钱包的私钥,” CoinDesk报告。受影响的人数远高于最初估计的9,500人。
在数据转储后的几天里,出现了大量的SIM交换,一些客户开始收到勒索电子邮件,包括暴力威胁。
在去年12月的一次采访中,莱杰(Ledger)首席执行官帕斯卡尔(Pascal Gauthier)告诉CoinDesk,最初的黑客攻击部分是由于公司如此迅速地扩展,他和即将上任的首席信息安全官马特·约翰逊(Matt Johnson)将宣布一项新的数据政策,并计划进一步解决该问题。一月泄漏。
现在,莱杰(Ledger)已发布有关该黑客的新信息,表明这很可能部分归因于当时其电子商务合作伙伴Shopify的流氓演员。
2020年12月23日,Shopify通知Ledger“涉及商户数据的事件,其中支持团队的流氓成员获得了包括Ledger在内的客户交易记录。代理在2020年4月和2020年6月非法出口了客户交易记录。”
Shopify告诉Ledger,数据泄露是其2020年9月披露的一部分,涉及200多家商家。不过,直到2020年12月21日,Shopify才“发现Ledger也成为这次袭击的目标。” Shopify告诉莱杰(Ledger),它正在继续调查,该问题已报告给执法部门。
Ledger与法证公司Orange Cyberdefense一起检查了292,000条被盗的数据记录。结果发现,虽然数据库与上一次攻击中暴露的个人信息非常相似,但仍有20,000个新客户记录遭到入侵。
首先,Ledger在博客中重申,该公司绝不会要求客户提供24个恢复字,这些恢复字可用于访问比特币和加密钱包。他们还强调,只要客户未共享这些词语,他们的Ledger硬件设备就是安全的。
“我们宣布Ledger收集和处理客户数据的方式方面的变化:在法律上尽可能短地保留个人数据,最大程度地减少电子邮件中个人数据的显示,在进一步隔离的环境中尽快移动所需的数据,并创建一个安全的渠道,以通过Ledger Live与我们的客户进行1:1交流,”包括新的CISO Matt Johnson在内的作者写道。
首先,Ledger正在改变其存储数据的方式。约翰逊在一次采访中说,尽管他不想完全不必保留用户数据,但该公司依法有义务在一段时间内保留用户数据。约翰逊说,但是莱杰(Ledger)希望超越欧盟《通用保护数据条例》要求的隐私范围。
约翰逊说:“通过超越GDPR,我们的意思不是'持有数据的时间超过GDPR所需的时间',而恰恰相反。” “我们的目标是尽快删除姓名,地址和电话号码等数据,即使我们可以将其保留在GDPR之内。但是,某些数据将需要继续履行我们的法律义务,例如会计或税收要求,并且将进一步隔离这些数据以限制其访问。”
展望未来,Ledger将在其订单完成后立即从其电子商务合作伙伴中删除数据,并将客户数据移至无法从互联网访问的数据库,然后在其具有合法能力后立即将其删除。
该公司还将从发送给客户的确认电子邮件中删除姓名,地址和电话号码,以使该数据不会通过第三方电子商务电子邮件提供商传递。
电子邮件和社交媒体将仅用于营销信息和公告,正在建立Ledger Live帐户以交流技术和安全信息,这似乎是在避免以前的网络钓鱼诈骗实例,在这种情况下,诈骗者鼓励Ledger用户通过以下方式下载重要的安全更新:看起来很真实的电子邮件。
约翰逊在一次Zoom通话中说:“我将检查并检查我们必须共享或作为供应链一部分传输数据的第三方的每一个人。”
“我们将仔细研究并确保其所有流程都是适当且严格的,因为如果我们将数据委托给他们,我们需要100%确保他们实际上在他们的最大努力下运行能够满足所有这些最低要求,并且最好推动它们超越这一最低要求。”
Ledger与各种执法机构以及区块链分析公司Chainalysis合作。它甚至设立了比特币赏金来获取与黑客行为负责人有关的信息。
约翰逊说:“我们耗尽了潜在客户,因此,如果有可能,我们实际上可以追回被盗资金,如果有可能的话。” “我们希望确保所有信息均以合法方式获得并直接与执法机构共享。
约翰逊说,莱杰(Ledger)希望确保所有信息的收集都是合法的,并且“高于一切”,目的是起诉责任个人。
该博客文章对比特币的赏金进行了限定,指出将由Ledger酌情分配BTC,并将考虑多种因素。在回应Johnson的评论时,这些内容包括信息是否已合法获得,信息是否是新的,信息的实质性程度以及将进一步促进调查和成功起诉的程度。
该公司还希望可以与加密行业的其他公司和个人合作,以资助这项悬赏计划。它设想了一个通用目的的赏金基金,该基金是打击整个行业的欺诈和网络钓鱼攻击的基础。
约翰逊说:“我们正在积极尝试做些事情来保护和改善这个生态系统。”
Ledger工程团队还在开发一种产品,“即使用户与攻击者共享了恢复种子,也将保护用户的资金”。
Ledger客户成功全球负责人JerômeDe Tychey在一封电子邮件中表示,大多数网络钓鱼攻击都依赖于使Ledger Nano所有者泄露其24个单词的短语。诈骗者抓住了恐慌的时机,业主认为他们的资金有风险。那时并不总是可能记住重要的安全措施,尤其是当骗子冒充Ledger支持人员时。
De Tychey在发送给“硬币桌
向前迈进,如何以及何时澄清和实施这些更改将对重新获得用户的信任有很大帮助。但是,在发生大规模数据泄露之后,它们代表了Ledger的安全性迈出了一步,并且可能更广泛地适用于加密社区。随着比特币和其他山寨币的蓬勃发展,围绕加密工具和产品的安全性是一个反复的过程。
约翰逊说:“人们总是尝试利用这些新途径。” “因此,我们必须进行持续的重新评估,并问我们还可以做些什么来使它比今天更加安全。账本钱包没有受到破坏,因此它们一次又一次地追求人为因素。那我们还能做什么?我们还能做些什么来帮助保护最终客户?因为这些都是真实的人。”
更新时间:202年1月13日16:16 UTC:比特币赏金的金额已从5 BTC更改为10 BTC。
已更新:1月13日202 16:31 UTC:添加了有关Shopify违规范围的更多信息。
披露CoinDesk是区块链新闻的领导者,是一家致力于追求最高新闻标准并遵守一套严格的编辑政策的媒体机构。 CoinDesk是Digital Currency Group的独立运营子公司,该公司投资于加密货币和区块链初创公司。