Datenschutzverletzung AMA TL;DR: Entmystifizierung der Datenschutzverletzung mit Matt Johnson, CISO von Ledger.

Matt ist ein ehemaliger australischer Bundespolizeibeamter mit nachgewiesener Erfahrung in der physischen und Cybersicherheit. Er hatte Positionen wie Group Chief Security Officer bei Ingenico und Director of Cybersecurity bei Visa inne. Nach der Datenpanne und kurze Zeit nach Johnsons Start hat Ledger wesentliche erste Maßnahmen ergriffen, um die Situation zu adressieren und sicherzustellen, dass ein solcher Hack nicht noch einmal passiert. Diese AMA (Aks me anything, Frag mich alles) war seine erste Gelegenheit, seine Vision für die Zukunft mit Ihnen zu teilen und Ihre Fragen zu beantworten. Hier ist unsere TLDR-Version. 

Bevor wir anfangen

Zuallererst bedauern wir als Unternehmen (Ledger) zutiefst, dass sich diese Vorfälle ereignet haben und dass sie Ihnen Schmerzen oder Stress bereitet haben. Ihre Sicherheit zu gewährleisten ist die Mission von Ledger und wir nehmen diese Vorfälle sowohl persönlich als auch beruflich sehr ernst. Teil unserer Mission ist es auch, transparent zu kommunizieren, auf Ihre Anliegen zu hören, und deshalb haben wir diese Veranstaltung organisiert, um Ihnen Antworten zu geben. Für diejenigen von Ihnen, die an unserer AMA teilgenommen haben, möchten wir uns für Ihre Anwesenheit und Teilnahme bedanken.

Fokussierte Gegner werden immer verschiedene Möglichkeiten versuchen, um auf die Daten von Ledger zuzugreifen, und wir müssen unsere Sicherheit weiter stärken. Dies ist ein branchenweites Problem, das wir gemeinsam bekämpfen müssen, und Ledger verstärkt unser Engagement, unseren Beitrag diesem Kampf zu leisten. Heute sind wir hier, um Ihnen, unseren Community-Mitgliedern, ein umfassendes Verständnis der Situation zu vermitteln und sie zu entmystifizieren.

Unser Aktionsplan geht voran

Datenschutzverletzungen und Phishing-Angriffe sind ein zunehmend branchenweites Problem und wir tun alles Notwendige, um zukünftigen Bedrohungen zu begegnen. Wir arbeiten jeden Tag weiter an diesem Problem und möchten Ihnen heute den Beginn unseres neuen Plans mitteilen, der darauf abzielt, den Schutz unserer Kunden zu erhöhen.

• Wir geben bekannt wenn es Änderungen im Umgang mit Kundendaten durch Ledger gibt: Unser Ziel ist es, Ihre personenbezogenen Daten wie Name, Adresse und Telefonnummer so schnell wie möglich vollständig zu löschen. Wir fordern uns und Drittanbieter heraus, diese Daten so kurz wie nötig aufzubewahren, um unsere Verpflichtungen gegenüber unseren Kunden (wie die Erfüllung Ihrer Bestellung) und die gesetzlichen Bestimmungen (wie buchhalterische und gesetzliche Verpflichtungen) zu erfüllen. Daten, die aufbewahrt werden müssen, werden so schnell wie möglich in eine weitere getrennte Umgebung gebracht.
• Wir werden ein Messaging-Modell implementieren, bei dem proaktiv wichtige Sicherheits- und technische Informationen über Ledger Live übermittelt werden. E-Mail und soziale Medien werden NUR zum Senden von Produktnachrichten und Ankündigungen verwendet.
• Wir werden eine detaillierte Neubewertung aller unserer Lieferanten und Partner durchführen, um sicherzustellen, dass sie auch weiterhin die höchsten Standards erfüllen.

Ledger setzt zahlreiche zusätzliche Ressourcen ein, um diejenigen zu identifizieren und zu verfolgen, die für die Angriffe auf Ledger und Ledger-Kunden verantwortlich sind, einschließlich eines Kopfgeldfonds von 10 BTC für Informationen, die zu einer erfolgreichen Verhaftung und Strafverfolgung führen. Wir hoffen, dass sich andere Unternehmen dem Bounty-Programm anschließen und dazu beitragen, die Krypto-Community zu einem sichereren Ort zu machen.

Sie haben gefragt, wir haben geantwortet

1- Wurden mein Guthaben und/oder meine Zahlungsinformationen kompromittiert?

Während dieser Angriffe blieben die Hardware-Wallets von Ledger unkompromittiert und Ihre Kryptowährung sicher, solange Sie Ihre 24 Wörter niemals mit jemandem teilen (insbesondere mit jemandem, der vorgibt, Ledger zu sein – Ledger wird Sie niemals nach diesen Informationen fragen). Darüber hinaus speichert Ledger keine Kreditkarteninformationen, sodass die Datenschutzverletzung keine Auswirkungen auf Ihre Zahlungsdaten hat.

2- Ich habe Anrufe/SMS mit körperlichen Bedrohungen erhalten, was soll ich tun?

Zunächst entschuldigen wir uns für diese ziemlich stressige Situation, wir wissen, was Sie durchmachen, und so beängstigend es auch sein mag, bitten wir Sie dringend, nicht in Panik zu geraten. Betrüger versuchen normalerweise, ihre Gewinne mit dem geringstmöglichen Risiko zu maximieren, daher liegen uns keine Berichte über physische Angriffe vor. Die Betrüger werden immer nach dem am leichtesten anzugreifenden Element suchen. Sie werden versuchen, ein Gefühl von Dringlichkeit und Panik zu erzeugen, es zeitsensibel oder zeitkritisch zu machen, mit Ihren Ängsten spielen und alles tun, um Sie davon zu überzeugen, Ihre 24 Wörter abzugeben.

Bitte seien Sie ruhig und sammeln Sie die Phishing-Versuche, um eine Anzeige bei Ihrer örtlichen Polizei zu erstatten. Dann senden Sie uns Ihre polizeiliche Meldenummer. Ledger sammelt eine beträchtliche Anzahl von Kundenberichten, um sie zu verarbeiten und an spezialisierte Strafverfolgungsbehörden zu übermitteln. Um die Verantwortlichen zu finden, brauchen wir Ihre Hilfe. Kontaktieren Sie uns über unser Online-Kontaktformular und über @Ledger_Support auf Twitter.

3- Ich habe keine E-Mail von Ledger erhalten. Ich möchte wissen, ob meine Daten durchgesickert sind?

Die offengelegten Daten sind E-Mail, Name, Nachname, Telefonnummer, bestellte Produkte und Lieferadresse. Wir haben die betroffenen Benutzer per E-Mail kontaktiert, um sie über die genauen Daten zu informieren, die in ihrem Fall durchgesickert sind. Wenn Sie keine E-Mail von Ledger erhalten haben, überprüfen Sie bitte Ihren Spam-Ordner. Sie können sich auch an das Support Team von Ledger wenden oder die Website https://haveibeenpwned.com/ besuchen, auf der Sie sofort sehen können, ob Ihre Daten bei dieser Verletzung durchgesickert sind.

4- Verkaufen Sie Daten/Informationen an Telemarketing-Unternehmen?

Absolut nicht, Ihre Daten wurden nie absichtlich weitergegeben und Ledger hat nie davon profitiert, Ihre Daten an Dritte zu verkaufen oder zu teilen.

5- Verwenden Sie einen unabhängigen Dritten für Penetrationstests? Bieten Sie Prämien an, um Fehler oder Schwächen zu finden?

Wir führen aktiv Penetrationstests durch, wir haben auch ein Sicherheitslabor namens Ledger Donjon, das unsere Hardwaregeräte konsequent testet. Da der Vorteil einer Hardware-Wallet wie Ledger darin besteht, ein vertrauenswürdiges Display zur Überprüfung von Informationen zu verwenden, empfehlen wir unseren Benutzern immer, dies zu tun, bevor sie eine Aktion/Transaktion manuell validieren.

Darüber hinaus haben wir ein aktives Bug-Bounty-Programm. Ledger bietet der Community weiterhin Anreize, an diesem Programm teilzunehmen, um unser Engagement für Sicherheit zu verdoppeln. Weitere Details hier.

6- Wird Ledger die Informationen zu Phishing-Angriffen mit anderen Hardwareherstellern teilen? Ich habe gehört, dass Betrüger auch mit Angriffen auf andere Geräte auf dieselben Adressen abzielten, da sie wissen, dass einige beides haben.

Ja, wir haben unsere Absicht bekannt gegeben, bei dieser Initiative mit anderen in der Branche zusammenzuarbeiten. Wir haben uns auch an andere Unternehmen und Einzelpersonen im Bereich über die laufende Finanzierung des Kopfgeldprogramms für Verbrechen gegen die Krypto-Community gewandt.

7- Werden Sie die von der Datenpanne betroffenen Personen entschädigen?

Wir planen nicht, den von der Datenschutzverletzung betroffenen Personen eine Entschädigung anzubieten. Wir sind jedoch entschlossen, unseren Fokus auf Forschung und Entwicklung zu legen, um unsere Sicherheit zu stärken. Darüber hinaus investieren wir erhebliche Ressourcen in die Untersuchung der Datenschutzverletzung und der aktuellen Phishing-Kampagnen, um die Verantwortlichen zum Wohle unseres gesamten Ökosystems vor Gericht zu stellen.

Was die Zukunft bringt

Dies ist eine schwierige Zeit für uns alle. Allen, die uns beigestanden haben, danken wir. Und jeder Kunde von Ledger kann sicher sein, dass wir rund um die Uhr daran arbeiten, dass so etwas nie wieder passiert. Wie das alte Sprichwort sagt: Was dich nicht umbringt, macht dich stärker, mit anderen Worten, Ledger wird daraus hervorgehen, um dir eine bessere, stärkere und sicherere Erfahrung zu bieten, du hast unser Wort.

Wir fühlen uns geehrt, Teil dieser Gemeinschaft zu sein, und wir werden jeden Tag härter daran arbeiten, uns weiterzuentwickeln und dem Ökosystem einen Mehrwert zu verleihen, aber vor allem, um Ihr Vertrauen zu verdienen.

Original von Ledger übersetzt.

bitConsult: Es waren zu keiner Zeit Daten von bitConsult betroffen.