Ledger añade recompensas de Bitcoin y nueva seguridad de datos tras el hackeo

Matt Johnson, el nuevo Director de Seguridad de la Información (CISO) de Ledger, no tuvo más remedio que ponerse manos a la obra, no solo a toda velocidad, sino, bueno, a toda velocidad. Su primera semana de trabajo consistió en analizar las consecuencias de una extensa filtración de datos de clientes, entre otras áreas como la seguridad de datos y el aumento de ataques que se produciría como consecuencia del bombeo de Bitcoin .

A raíz del mayor hackeo en la historia de la compañía, y poco más de una semana después de que Johnson comenzara, la empresa de billeteras de hardware Ledger anunció sus primeras medidas para abordar la violación de datos y garantizar que un hackeo así no vuelva a ocurrir.

Estos incluyen trabajar con la empresa de análisis de blockchain Chainalysis para cazar a los piratas informáticos, ofreciendo un 10 BTCrecompensa por información que conduzca al arresto del pirata informático y la creación de una revisión exhaustiva de qué información conserva la empresa, dónde se almacena y durante cuánto tiempo se conserva.

Simultáneamente, Ledger reveló que debido a actores deshonestos en el socio de comercio electrónico Shopify, se han expuesto 20.000 nuevos registros de clientes, incluidos correos electrónicos, nombres, direcciones postales y números de teléfono, junto con los productos que fueron pedidos.

El hackeo de Ledger

Ledger reveló públicamente que la información de los clientes se había visto comprometida en julio de 2020. En ese momento, la empresa estimó9.500 Los clientes se vieron afectados por el ataque. En los meses siguientes, CoinDesk documentó una serie de intentos de phishing convincentes ejecutados por los hackers, incluyendo correos electrónicos que... Imitó correspondencia oficial del Ledger y mensajes de texto.

Luego, en diciembre de 2020, unvolcado de datos Se expusieron un millón de direcciones de correo electrónico y 272.000 nombres, direcciones postales y números de teléfono de personas que habían pedido dispositivos de Ledger, que almacenan las claves privadas de las billeteras de Criptomonedas , según informó CoinDesk . El número de personas afectadas fue mucho mayor que la estimación original. 9.500.

En los días posteriores al volcado de datos se informó de una serie de cambios de SIM y algunos clientes comenzaron a tener problemas.extorsióncorreos electrónicos, incluidas amenazas de violencia.

En una entrevista en diciembre pasado, el CEO de Ledger, Pascal Gauthier, le dijo a CoinDesk que el hackeo inicial fue, en parte, resultado de la rápida expansión de la compañía, y que él y el nuevo CISO, Matt Johnson, anunciarían una nueva Regulación de datos y un plan para abordar aún más las filtraciones en enero.

Ahora, Ledger ha publicado nueva información sobre el hackeo, revelando que probablemente se debió, en parte, a actores corruptos en Shopify, su socio de comercio electrónico en ese momento.

Sigue leyendo: ¿Por qué Ledger conservó todos esos datos de clientes en primer lugar?

Los agentes corruptos de Shopify

El 23 de diciembre de 2020, Shopify notificó a Ledger sobre un incidente relacionado con datos de comerciantes, en el que miembros de su equipo de soporte, sin escrúpulos, obtuvieron registros de transacciones de clientes, incluyendo los de Ledger. El agente o los agentes exportaron ilegalmente registros de transacciones de clientes en abril y junio de 2020, según una publicación de blog.

Shopify le dijo a Ledger que la violación de datos era parte de su Aviso legal en Septiembre de 2020, que afectó a más de 200 comerciantes. Sin embargo, hasta el 21 de diciembre de 2020, Shopify no había descubierto que Ledger también fue blanco de este ataque. Shopify informó a Ledger que continúa investigando y que el problema se había reportado a las autoridades.

En colaboración con la firma forense Orange Cyberdefense, Ledger examinó los 292.000 registros de datos robados. Descubrió que, si bien la base de datos es bastante similar a la información personal expuesta en el ataque anterior, se vieron comprometidos 20.000 nuevos registros de clientes.

La compañía dijo que notificó a los clientes afectados el 13 de enero.

La seguridad de los datos de Ledger tras el hackeo

En primer lugar, en una entrada de blog, Ledger reiteró que la compañía nunca solicitará a los clientes sus 24 palabras de recuperación, las cuales pueden usarse para acceder a billeteras de Bitcoin y Cripto . También recalcó que, mientras los clientes no compartan estas palabras, sus dispositivos Ledger estarán seguros.

“Estamos anunciando cambios en la forma en que Ledger recopilará y manejará los datos de los clientes: conservar los datos personales durante el menor tiempo legalmente posible, minimizar la visualización de datos personales en correos electrónicos, trasladar los datos necesarios a un entorno aún más segregado lo antes posible y crear un canal seguro para comunicarnos 1:1 con nuestros clientes a través de Ledger Live”, declararon los autores, incluido el nuevo CISO Matt Johnson.escribió.

En primer lugar, Ledger está cambiando su forma de almacenar datos. En una entrevista, Johnson afirmó que, si bien preferiría no tener que almacenar datos de los usuarios, la empresa está legalmente obligada a hacerlo durante un tiempo. Sin embargo, Ledger busca ir más allá de los requisitos de Privacidad del Reglamento General de Protección de Datos de la Unión Europea, según Johnson.

"Al ir más allá del RGPD, no nos referimos a 'conservar datos durante más tiempo del que exige el RGPD', sino todo lo contrario", afirmó Johnson. "Nuestro objetivo es eliminar datos como el nombre, la dirección y el número de teléfono lo antes posible, incluso si el RGPD nos permitiera KEEP . Sin embargo, algunos datos los necesitaremos para KEEP con nuestras obligaciones legales, como los requisitos contables o fiscales, y estos datos se segregarán aún más para limitar su acceso".

Sigue leyendo: Un ataque de phishing convincente se dirige a los usuarios de la billetera de hardware Ledger.

Borrar, borrar, borrar

En el futuro, Ledger eliminará datos de su socio de comercio electrónico y moverá los datos de los clientes a una base de datos a la que no se podrá acceder desde Internet tan pronto como se complete su pedido, antes de eliminarlos tan pronto como sea legalmente posible.

La empresa también eliminará nombres, direcciones y números de teléfono de los correos electrónicos de confirmación enviados a los clientes para que estos datos no pasen a través de proveedores de correo electrónico de comercio electrónico de terceros.

El correo electrónico y redes socialesSolo se utilizarán para mensajes de marketing y anuncios. Las cuentas de Ledger Live se están configurando para comunicar información técnica y de seguridad, aparentemente para evitar instancias de estafas de phishing anteriores, en las que los estafadores alentaban a los usuarios de Ledger adescargar actualizaciones de seguridad importantesa través de correos electrónicos que parecen genuinos.

Por último, Johnson realizará una revisión exhaustiva de los terceros que manejan los datos.

"Examinaré a cada ONE de los terceros con los que tenemos que compartir o transmitir datos como parte de la cadena de suministro", dijo Johnson en una llamada de Zoom.

Revisaremos y nos aseguraremos de que todos sus procesos sean adecuados y rigurosos, porque si les confiamos nuestros datos, necesitamos estar 100 % seguros de que realmente están operando al máximo de su capacidad para cumplir con todos esos requisitos mínimos y, preferiblemente, impulsarlos a ir más allá.

Una recompensa Bitcoin y la aplicación de la ley

Ledger colabora con diversas fuerzas del orden, así como con la firma de análisis blockchain Chainalysis. Incluso ha establecido una recompensa en Bitcoin por información relacionada con los responsables del hackeo.

“Estamos investigando pistas para poder recuperar, si es posible, los fondos robados que llegan a las plataformas de intercambio”, dijo Johnson. “Queremos asegurarnos de que toda la información se obtenga de forma legal y se comparta directamente con las fuerzas del orden.

Johnson dijo que Ledger quiere asegurarse de que toda la recopilación de información se realice de manera legal y “transparente” con el objetivo de procesar a los individuos responsables.

Sigue leyendo: Desde intercambios de tarjetas SIM hasta amenazas de invasión de hogares, la filtración de Ledger tiene consecuencias en cascada

La entrada del blog especificó la recompensa en Bitcoin , indicando que el desembolso de los BTC se realizará a discreción de Ledger y que se considerarán diversos factores. En consonancia con los comentarios de Johnson, estos incluyen si la información se obtuvo legalmente, si es nueva, su relevancia y en qué medida contribuiría a impulsar la investigación y el éxito del proceso.

La compañía también espera colaborar con otras empresas e individuos de la industria de las Cripto para financiar esta recompensa. Prevé un fondo de recompensas de propósito general, una especie de fundación para combatir las estafas y los ataques de phishing en toda la industria.

"Estamos intentando activamente hacer cosas para proteger y mejorar ese ecosistema", dijo Johnson.

Protegiendo su Bitcoin incluso cuando se comparte la frase de recuperación

El equipo de ingeniería de Ledger también está desarrollando un producto que “protegerá los fondos de un usuario incluso si hubiera compartido su semilla de recuperación con un atacante”.

Jerôme De Tychey, Director Global de Éxito de Clientes de Ledger, explicó en un correo electrónico que la mayoría de los ataques de phishing se basan en obligar a los propietarios de Ledger NANO a revelar su frase de 24 palabras. Los estafadores aprovechan ese momento oportuno de pánico cuando los propietarios creen que sus fondos están en riesgo. Recordar medidas de seguridad cruciales en ese momento no siempre es posible, especialmente cuando los estafadores se hacen pasar por personal de soporte de Ledger.

“Reconocemos este problema y pronto lanzaremos una solución técnica que eliminará las 24 palabras como el único pilar de la seguridad de nuestras billeteras de hardware y también abrirá la puerta al seguro de fondos”, dijo De Tychey en un correo electrónico a CoinDesk.

De cara al futuro, la forma y el momento en que se aclaren e implementen estos cambios contribuirán en gran medida a recuperar la confianza de los usuarios. Sin embargo, representan un avance para la seguridad de Ledger tras una extensa filtración de datos, y podrían ser beneficiosos para la comunidad Cripto en general. Con el auge de Bitcoin y otras altcoins, la seguridad en torno a las herramientas y productos Cripto es un proceso iterativo.

“Siempre surgen nuevas vías que la gente intenta explotar”, dijo Johnson. “Por lo tanto, debemos reevaluar constantemente y preguntarnos qué más podemos hacer para que esto sea aún más seguro que lo que es hoy. Las billeteras Ledger no han sido comprometidas, por lo que atacan a los elementos Human una y otra vez. Entonces, ¿qué más podemos hacer? ¿Qué más podemos hacer para proteger al cliente final? Porque se trata de personas reales”.

Actualizado: 13 de enero de 2020 16:14 UTC: El monto de la recompensa de Bitcoin se ha cambiado de 5 BTC a 10 BTC.

Actualizado: 13 de enero de 2020, 16:31 UTC: Se agregó más información sobre el alcance de la violación de Shopify.