莱杰在黑客攻击后增加了比特币赏金和新的数据安全

莱杰新任首席信息安全官(CISO)马特•约翰逊(Matt Johnson)别无选择,他必须脚踏实地,不仅仅是跑步,而是冲刺。他的第一周工作包括仔细检查大量客户信息数据转储的影响,以及其他领域,如数据安全和作为比特币注入的副产品而增加的攻击;

在公司历史上最大规模的黑客攻击之后,在Johnson开始攻击后一周多一点,hardware wallet company Ledger宣布了其第一批措施,以解决数据泄露问题,并确保此类黑客攻击不再发生;

这些措施包括与区块链分析公司ChainAnalysis合作追捕黑客,对导致黑客被捕的信息提供10 BTC的悬赏,并对公司持有的信息、存储在哪里以及保留多长时间进行全面审查

同时,莱杰透露,由于电子商务合作伙伴Shopify的流氓行为,已经曝光了2万条新的客户记录,包括电子邮件、姓名、邮政地址和电话号码,以及订购的产品

账本黑客

莱杰公开透露,客户信息在2020年7月被泄露。当时,该公司估计有9500名客户受到黑客攻击的影响。在接下来的几个月里,CoinDesk记录了黑客实施的一系列令人信服的网络钓鱼企图,包括模仿官方账本通信的电子邮件和短信

然后,在2020年12月,一个数据转储“暴露了100万个电子邮件地址和272000个姓名、邮寄地址和电话号码,这些人属于订购了Ledger设备的人,这些设备存储了加密货币钱包的私钥,”Cointdesk报道;受影响的人数远高于最初估计的9500人;

据报道,在数据转储之后的几天里,出现了大量的SIM卡交换,一些客户开始收到勒索电子邮件,包括暴力威胁

去年12月,Ledger首席执行官帕斯卡·高蒂尔(Pascal Gauthier)在接受采访时对Cointdesk表示,最初的黑客攻击部分是由于公司规模扩张如此之快,他和即将上任的CISO马特·约翰逊(Matt Johnson)将宣布一项新的数据政策,并计划在明年1月进一步解决泄密问题。

现在,莱杰已经发布了有关黑客攻击的新信息,透露这可能部分是由于其当时的电子商务合作伙伴Shopify的流氓行为;

阅读更多:为什么莱杰把所有的客户数据放在第一位

Shopify的流氓特工

据一篇博客文章称,2020年12月23日,Shopify向Ledger通报了一起“涉及商户数据的事件,在该事件中,其支持团队的流氓成员获得了客户交易记录,包括Ledger的记录。该代理在2020年4月和6月非法导出了客户交易记录。”;

Shopify告诉Ledger,数据泄露是其在2020年9月披露的一部分,涉及200多家商户。不过,直到2020年12月21日,Shopify还没有“发现莱杰也是这次攻击的目标”。Shopify告诉莱杰,它正在继续调查,并已向执法部门报告了这一问题

莱杰与司法鉴定公司Orange Cyberdefense联合检查了29.2万份被盗数据记录。调查发现,虽然该数据库与上次攻击中暴露的个人信息非常相似,但有2万条新的客户记录被泄露

该公司表示,已于1月13日通知了受影响的客户。

黑客攻击后莱杰的数据安全

首先也是最重要的是,莱杰在一篇博客文章中重申,公司永远不会要求客户提供24个恢复单词,这些单词可以用来访问比特币和加密钱包。他们还强调,只要客户没有分享这些话,他们的账本硬件设备就很安全;

“我们宣布改变Ledger收集和处理客户数据的方式:在法律上尽可能短的时间内保存个人数据,尽量减少在电子邮件中显示个人数据,尽快将所需数据转移到进一步隔离的环境中,并创建一个安全的渠道,通过Ledger Live与我们的客户进行1:1的沟通,”包括new CISO Matt Johnson在内的作者写道;

首先,分类账正在改变它存储数据的方式。在一次采访中,约翰逊说,虽然他更希望根本不必保存用户数据,但公司在法律上有义务在一段时间内这样做。但约翰逊称,莱杰正在寻求超越欧盟一般保护数据条例所要求的隐私;

约翰逊说:“超越GDPR,我们的意思不是‘持有数据的时间超过GDPR的要求’,而是恰恰相反。”。“我们的目标是尽快删除姓名、地址和电话号码等数据,即使我们被允许将这些数据保留在GDPR之下。但是,我们需要保留一些数据以履行我们的法律义务,如会计或税务要求,这些数据将被进一步隔离以限制其访问。”

阅读更多:“令人信服”的网络钓鱼攻击目标是账本硬件钱包用户

删除,删除,删除

接下来,Ledger将删除其电子商务合作伙伴的数据,并在您的订单完成后立即将客户数据移动到无法从internet访问的数据库中,然后在法律允许的情况下立即将其删除;

公司还将从发送给客户的确认电子邮件中删除姓名、地址和电话号码,以便这些数据不会通过第三方电子商务电子邮件提供商传递;

电子邮件和社交媒体将只用于营销信息和公告,分类帐实时帐户正在建立,以交流技术和安全信息,似乎是为了避免以前的网络钓鱼欺诈的例子,在这种情况下,骗子鼓励分类帐用户下载重要的安全更新通过真实的电子邮件。

最后,Johnson将对处理数据的第三方进行全面审查;

“作为供应链的一部分,我将对我们必须共享或传输数据的每一个第三方进行检查,”Johnson在Zoom电话会议上说;

“我们将仔细检查并确保他们的所有流程都是适当和严格的,因为如果我们将数据委托给他们,我们需要100%确定他们实际上是在尽最大能力满足所有这些最低要求,最好是推动他们超越这些。”

比特币赏金和执法

莱杰正在与各种执法机构以及区块链分析公司ChainAnalysis合作。它甚至还设立了一个比特币悬赏系统,以获取与黑客相关的信息;

约翰逊说:“我们正在追查线索,这样如果有可能的话,我们就能够追回被盗资金。”。“我们希望确保所有信息都以合法方式获得,并直接与执法机构共享;

约翰逊说,莱杰希望确保所有信息收集都是合法和“公开的”,目的是起诉责任人;

导读:从SIM卡交换到入户威胁,账本泄露具有连锁效应

这篇博文对比特币悬赏进行了限定,指出比特币的支付将由莱杰决定,并将考虑各种因素。与约翰逊的评论相呼应的是,这些信息是否是合法获得的,是否是新的,它的实质性有多大,以及它对进一步调查和成功起诉的帮助有多大;

该公司还希望能够与加密行业的其他公司和个人合作,为这笔奖金提供资金。它设想了一个通用的赏金基金,这是一个打击整个行业诈骗和网络钓鱼攻击的基础。

“我们正积极努力保护和改善生态系统,”约翰逊说;

即使共享了恢复短语,也要保护您的比特币

Ledger工程团队还开发了一种产品,“即使用户与攻击者共享了恢复种子,也能保护用户的资金。”

Ledger客户成功部全球主管Jerôme De Tychey在一封电子邮件中表示,大多数网络钓鱼攻击都依赖于让Ledger Nano所有者披露他们的24个单词短语。骗子抓住了恐慌的有利时机,所有者认为他们的资金有风险。记住关键的安全措施在那一刻并不总是可能的,特别是当骗子冒充账本支持人员时;

“我们承认这个问题,我们将很快发布一个技术解决方案,将删除24个字作为我们的硬件钱包安全的单一支柱,并将打开资金保险的大门,以及说:”德泰基在一封电子邮件Cointesk

向前看,如何以及何时澄清和实施这些更改将大大有助于恢复用户的信任。但它们代表了在大规模数据泄露之后,Ledger的安全性向前迈进了一步,可能更普遍地适用于加密社区。随着比特币和其他Altcoin的蓬勃发展,加密工具和产品的安全性是一个迭代过程;

约翰逊说:“人们总是试图利用这些新途径。“因此,我们必须不断地重新评估,并询问我们还能做些什么,使之比现在更安全。账本钱包还没有被破坏,所以他们一次又一次地追查人类的因素。那我们还能做什么呢?我们还能做些什么来保护最终客户?因为他们是真人。”

更新时间:2021年1月13日16:14 UTC:比特币悬赏金额已从5 BTC更改为10 BTC。

更新时间:2021年1月13日16:31 UTC:添加了有关Shopify漏洞范围的更多信息。

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

声明:图文来源于网络,如有侵权请联系删除

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 2021年1月14日 下午9:34
下一篇 2021年1月14日 下午9:34

相关推荐

莱杰在黑客攻击后增加了比特币赏金和新的数据安全

星期四 2021-01-14 21:34:07

莱杰新任首席信息安全官(CISO)马特•约翰逊(Matt Johnson)别无选择,他必须脚踏实地,不仅仅是跑步,而是冲刺。他的第一周工作包括仔细检查大量客户信息数据转储的影响,以及其他领域,如数据安全和作为比特币注入的副产品而增加的攻击;

在公司历史上最大规模的黑客攻击之后,在Johnson开始攻击后一周多一点,hardware wallet company Ledger宣布了其第一批措施,以解决数据泄露问题,并确保此类黑客攻击不再发生;

这些措施包括与区块链分析公司ChainAnalysis合作追捕黑客,对导致黑客被捕的信息提供10 BTC的悬赏,并对公司持有的信息、存储在哪里以及保留多长时间进行全面审查

同时,莱杰透露,由于电子商务合作伙伴Shopify的流氓行为,已经曝光了2万条新的客户记录,包括电子邮件、姓名、邮政地址和电话号码,以及订购的产品

账本黑客

莱杰公开透露,客户信息在2020年7月被泄露。当时,该公司估计有9500名客户受到黑客攻击的影响。在接下来的几个月里,CoinDesk记录了黑客实施的一系列令人信服的网络钓鱼企图,包括模仿官方账本通信的电子邮件和短信

然后,在2020年12月,一个数据转储“暴露了100万个电子邮件地址和272000个姓名、邮寄地址和电话号码,这些人属于订购了Ledger设备的人,这些设备存储了加密货币钱包的私钥,”Cointdesk报道;受影响的人数远高于最初估计的9500人;

据报道,在数据转储之后的几天里,出现了大量的SIM卡交换,一些客户开始收到勒索电子邮件,包括暴力威胁

去年12月,Ledger首席执行官帕斯卡·高蒂尔(Pascal Gauthier)在接受采访时对Cointdesk表示,最初的黑客攻击部分是由于公司规模扩张如此之快,他和即将上任的CISO马特·约翰逊(Matt Johnson)将宣布一项新的数据政策,并计划在明年1月进一步解决泄密问题。

现在,莱杰已经发布了有关黑客攻击的新信息,透露这可能部分是由于其当时的电子商务合作伙伴Shopify的流氓行为;

阅读更多:为什么莱杰把所有的客户数据放在第一位

Shopify的流氓特工

据一篇博客文章称,2020年12月23日,Shopify向Ledger通报了一起“涉及商户数据的事件,在该事件中,其支持团队的流氓成员获得了客户交易记录,包括Ledger的记录。该代理在2020年4月和6月非法导出了客户交易记录。”;

Shopify告诉Ledger,数据泄露是其在2020年9月披露的一部分,涉及200多家商户。不过,直到2020年12月21日,Shopify还没有“发现莱杰也是这次攻击的目标”。Shopify告诉莱杰,它正在继续调查,并已向执法部门报告了这一问题

莱杰与司法鉴定公司Orange Cyberdefense联合检查了29.2万份被盗数据记录。调查发现,虽然该数据库与上次攻击中暴露的个人信息非常相似,但有2万条新的客户记录被泄露

该公司表示,已于1月13日通知了受影响的客户。

黑客攻击后莱杰的数据安全

首先也是最重要的是,莱杰在一篇博客文章中重申,公司永远不会要求客户提供24个恢复单词,这些单词可以用来访问比特币和加密钱包。他们还强调,只要客户没有分享这些话,他们的账本硬件设备就很安全;

“我们宣布改变Ledger收集和处理客户数据的方式:在法律上尽可能短的时间内保存个人数据,尽量减少在电子邮件中显示个人数据,尽快将所需数据转移到进一步隔离的环境中,并创建一个安全的渠道,通过Ledger Live与我们的客户进行1:1的沟通,”包括new CISO Matt Johnson在内的作者写道;

首先,分类账正在改变它存储数据的方式。在一次采访中,约翰逊说,虽然他更希望根本不必保存用户数据,但公司在法律上有义务在一段时间内这样做。但约翰逊称,莱杰正在寻求超越欧盟一般保护数据条例所要求的隐私;

约翰逊说:“超越GDPR,我们的意思不是‘持有数据的时间超过GDPR的要求’,而是恰恰相反。”。“我们的目标是尽快删除姓名、地址和电话号码等数据,即使我们被允许将这些数据保留在GDPR之下。但是,我们需要保留一些数据以履行我们的法律义务,如会计或税务要求,这些数据将被进一步隔离以限制其访问。”

阅读更多:“令人信服”的网络钓鱼攻击目标是账本硬件钱包用户

删除,删除,删除

接下来,Ledger将删除其电子商务合作伙伴的数据,并在您的订单完成后立即将客户数据移动到无法从internet访问的数据库中,然后在法律允许的情况下立即将其删除;

公司还将从发送给客户的确认电子邮件中删除姓名、地址和电话号码,以便这些数据不会通过第三方电子商务电子邮件提供商传递;

电子邮件和社交媒体将只用于营销信息和公告,分类帐实时帐户正在建立,以交流技术和安全信息,似乎是为了避免以前的网络钓鱼欺诈的例子,在这种情况下,骗子鼓励分类帐用户下载重要的安全更新通过真实的电子邮件。

最后,Johnson将对处理数据的第三方进行全面审查;

“作为供应链的一部分,我将对我们必须共享或传输数据的每一个第三方进行检查,”Johnson在Zoom电话会议上说;

“我们将仔细检查并确保他们的所有流程都是适当和严格的,因为如果我们将数据委托给他们,我们需要100%确定他们实际上是在尽最大能力满足所有这些最低要求,最好是推动他们超越这些。”

比特币赏金和执法

莱杰正在与各种执法机构以及区块链分析公司ChainAnalysis合作。它甚至还设立了一个比特币悬赏系统,以获取与黑客相关的信息;

约翰逊说:“我们正在追查线索,这样如果有可能的话,我们就能够追回被盗资金。”。“我们希望确保所有信息都以合法方式获得,并直接与执法机构共享;

约翰逊说,莱杰希望确保所有信息收集都是合法和“公开的”,目的是起诉责任人;

导读:从SIM卡交换到入户威胁,账本泄露具有连锁效应

这篇博文对比特币悬赏进行了限定,指出比特币的支付将由莱杰决定,并将考虑各种因素。与约翰逊的评论相呼应的是,这些信息是否是合法获得的,是否是新的,它的实质性有多大,以及它对进一步调查和成功起诉的帮助有多大;

该公司还希望能够与加密行业的其他公司和个人合作,为这笔奖金提供资金。它设想了一个通用的赏金基金,这是一个打击整个行业诈骗和网络钓鱼攻击的基础。

“我们正积极努力保护和改善生态系统,”约翰逊说;

即使共享了恢复短语,也要保护您的比特币

Ledger工程团队还开发了一种产品,“即使用户与攻击者共享了恢复种子,也能保护用户的资金。”

Ledger客户成功部全球主管Jerôme De Tychey在一封电子邮件中表示,大多数网络钓鱼攻击都依赖于让Ledger Nano所有者披露他们的24个单词短语。骗子抓住了恐慌的有利时机,所有者认为他们的资金有风险。记住关键的安全措施在那一刻并不总是可能的,特别是当骗子冒充账本支持人员时;

“我们承认这个问题,我们将很快发布一个技术解决方案,将删除24个字作为我们的硬件钱包安全的单一支柱,并将打开资金保险的大门,以及说:”德泰基在一封电子邮件Cointesk

向前看,如何以及何时澄清和实施这些更改将大大有助于恢复用户的信任。但它们代表了在大规模数据泄露之后,Ledger的安全性向前迈进了一步,可能更普遍地适用于加密社区。随着比特币和其他Altcoin的蓬勃发展,加密工具和产品的安全性是一个迭代过程;

约翰逊说:“人们总是试图利用这些新途径。“因此,我们必须不断地重新评估,并询问我们还能做些什么,使之比现在更安全。账本钱包还没有被破坏,所以他们一次又一次地追查人类的因素。那我们还能做什么呢?我们还能做些什么来保护最终客户?因为他们是真人。”

更新时间:2021年1月13日16:14 UTC:比特币悬赏金额已从5 BTC更改为10 BTC。

更新时间:2021年1月13日16:31 UTC:添加了有关Shopify漏洞范围的更多信息。