Ledger aggiunge Bitcoin Bounty e nuova sicurezza dei dati dopo l'hacking

Matt Johnson, il nuovo Chief Information Security Officer (CISO) di Ledger, non ha avuto altra scelta che mettersi al lavoro non solo di corsa ma, beh, di sprint. La sua prima settimana di lavoro ha comportato l'analisi delle ricadute di un'ampia discarica di dati sui clienti, tra le altre aree come la sicurezza dei dati e l'aumento degli attacchi che sarebbero derivati ​​come sottoprodotto del pompaggio di Bitcoin .

In seguito al più grande attacco informatico nella storia dell'azienda, e poco più di una settimana dopo l'insediamento di Johnson, la società produttrice di portafogli hardware Ledger ha annunciato le sue prime misure per affrontare la violazione dei dati e garantire che un attacco del genere T si ripeta.

Questi includono la collaborazione con la società di analisi blockchain Chainalysis per dare la caccia agli hacker, offrendo un 10 BTCricompensa per le informazioni che portano all’arresto dell’hacker e creazione di una revisione completa delle informazioni che l’azienda detiene, dove sono archiviate e per quanto tempo vengono conservate.

Contemporaneamente, Ledger ha rivelato che, a causa di attori non autorizzati del partner di e-commerce Shopify, sono stati resi pubblici 20.000 nuovi record di clienti, tra cui e-mail, nomi, indirizzi postali e numeri di telefono, insieme ai prodotti ordinati.

L'hacking del Ledger

Ledger ha rivelato pubblicamente che le informazioni dei clienti erano state compromesse a luglio 2020. All'epoca, la società stimava9.500 i clienti erano stati colpiti dall'hacking. Nei mesi successivi, CoinDesk ha documentato una serie di convincenti tentativi di phishing eseguiti dagli hacker, tra cui e-mail che imitava la corrispondenza ufficiale e i messaggi di testo del Ledger.

Poi, nel dicembre 2020, unscarico dati "ha esposto 1 milione di indirizzi e-mail e 272.000 nomi, indirizzi postali e numeri di telefono appartenenti a persone che avevano ordinato i dispositivi Ledger, che memorizzano le chiavi private per i portafogli Criptovaluta ", come riportato da CoinDesk . Il numero di persone colpite è stato molto più alto della stima originale di 9.500.

Nei giorni successivi al data dump è stata segnalata un'ondata di scambi di SIM e alcuni clienti hanno iniziato a ricevereestorsionee-mail, comprese minacce di violenza.

In un'intervista dello scorso dicembre, Pascal Gauthier, CEO di Ledger, ha dichiarato a CoinDesk che l'attacco hacker iniziale era stato in parte dovuto alla rapida crescita dell'azienda e che lui e il nuovo CISO Matt Johnson avrebbero annunciato una nuova Politiche sui dati e un piano per affrontare ulteriormente le fughe di notizie a gennaio.

Ora Ledger ha diffuso nuove informazioni sull'attacco informatico, rivelando che è stato probabilmente causato, in parte, da malintenzionati di Shopify, all'epoca suo partner di e-commerce.

Continua a leggere: Perché Ledger ha conservato tutti quei dati dei clienti in primo luogo

Gli agenti canaglia di Shopify

Il 23 dicembre 2020, Ledger è stata informata da Shopify di un incidente "che coinvolgeva i dati dei commercianti, in cui membri non autorizzati del loro team di supporto hanno ottenuto i record delle transazioni dei clienti, inclusi quelli di Ledger. L'agente (o gli agenti) ha esportato illegalmente i record delle transazioni dei clienti ad aprile e giugno 2020", secondo un post del blog.

Shopify ha detto a Ledger che la violazione dei dati faceva parte della sua Dichiarazione informativa in Settembre 2020, che ha coinvolto oltre 200 commercianti. Fino al 21 dicembre 2020, tuttavia, Shopify non aveva "scoperto che Ledger era stata presa di mira anche da questo attacco". Shopify ha detto a Ledger che sta continuando a indagare e che il problema era stato segnalato alle forze dell'ordine.

In collaborazione con la società di analisi forense Orange Cyberdefense, Ledger ha esaminato i 292.000 record di dati rubati. Ha scoperto che, sebbene il database sia piuttosto simile alle informazioni personali esposte nell'attacco precedente, sono stati compromessi 20.000 nuovi record di clienti.

L'azienda ha dichiarato di aver avvisato i clienti interessati il 13 gennaio.

La sicurezza dei dati di Ledger dopo l’hacking

Innanzitutto, in un post del blog, Ledger ha ribadito che la società non chiederà mai ai clienti le loro 24 parole di recupero, che possono essere utilizzate per accedere ai portafogli Bitcoin e Cripto . Hanno anche sottolineato che finché i clienti non avessero condiviso queste parole, i loro dispositivi hardware Ledger sarebbero stati sicuri.

"Stiamo annunciando cambiamenti nel modo in cui Ledger raccoglierà e gestirà i dati dei clienti: conservazione dei dati personali per il minor tempo possibile legalmente, riduzione al minimo della visualizzazione dei dati personali nelle e-mail, spostamento dei dati necessari in un ambiente ulteriormente segregato il prima possibile e creazione di un canale sicuro per comunicare 1:1 con i nostri clienti tramite Ledger Live", hanno dichiarato gli autori, tra cui il nuovo CISO Matt Johnson,ha scritto.

Innanzitutto, Ledger sta cambiando il modo in cui archivia i dati. In un'intervista, Johnson ha affermato che, sebbene preferirebbe non dover conservare affatto i dati degli utenti, l'azienda è legalmente obbligata a farlo per un periodo di tempo. Ma Ledger sta cercando di andare oltre ciò che la Privacy è richiesta dal Regolamento generale sulla protezione dei dati dell'Unione Europea, secondo Johnson.

"Andando oltre il GDPR, ciò che intendiamo non è 'conservare i dati più a lungo di quanto richiesto dal GDPR', ma piuttosto il contrario", ha affermato Johnson. "Il nostro obiettivo è eliminare dati come nome, indirizzo e numero di telefono il prima possibile, anche se ci fosse consentito KEEP ai sensi del GDPR. Tuttavia, dovremo KEEP alcuni dati per adempiere ai nostri obblighi legali, come i requisiti contabili o fiscali, e questi dati saranno ulteriormente segregati per limitarne l'accesso".

Continua a leggere: Attacco di phishing "convincente" prende di mira gli utenti di portafogli hardware Ledger

Cancella, cancella, cancella

D'ora in poi Ledger eliminerà i dati dal suo partner di e-commerce e sposterà i dati dei clienti in un database T accessibile da Internet non appena l'ordine sarà evaso, per poi eliminarli non appena sarà legalmente in grado di farlo.

L'azienda eliminerà inoltre nomi, indirizzi e numeri di telefono dalle e-mail di conferma inviate ai clienti, in modo che tali dati non vengano trasmessi tramite provider di posta elettronica di e-commerce terzi.

IL e-mail E mezzi di comunicazione socialesaranno utilizzati solo per messaggi di marketing e annunci, gli account Ledger Live vengono configurati per comunicare informazioni tecniche e di sicurezza, apparentemente per evitare casi di precedenti truffe di phishing, in cui i truffatori incoraggiavano gli utenti Ledger ascarica aggiornamenti di sicurezza importantitramite email dall'aspetto autentico.

Infine, Johnson effettuerà un'analisi completa delle terze parti che gestiscono i dati.

"Esaminerò e analizzerò ogni ONE terza parte con cui dobbiamo condividere o trasmettere i dati come parte della catena di fornitura", ha affermato Johnson in una chiamata Zoom.

"Esamineremo e faremo in modo che tutti i loro processi siano appropriati e rigorosi, perché se affidiamo loro i nostri dati, dobbiamo essere sicuri al 100% che stiano effettivamente operando al meglio delle loro capacità per soddisfare tutti quei requisiti minimi e, preferibilmente, spingerli ad andare oltre".

Una ricompensa in Bitcoin e l'applicazione della legge

Ledger sta collaborando con varie agenzie di polizia e con la società di analisi blockchain Chainalysis. Ha persino istituito una ricompensa in Bitcoin per informazioni relative ai responsabili dell'hacking.

"Stiamo esaminando le piste in modo da poter effettivamente recuperare, se possibile, i fondi rubati se finiscono sugli exchange", ha affermato Johnson. "Vogliamo assicurarci che tutte le informazioni vengano ottenute in modo legale e condivise direttamente con le forze dell'ordine.

Johnson ha affermato che Ledger vuole assicurarsi che tutta la raccolta di informazioni venga effettuata in modo legale e "tranquillo", con l'obiettivo di perseguire penalmente i responsabili.

Continua a leggere: Da SIM-Swap a minacce di invasione domestica, la fuga di notizie di Ledger ha conseguenze a cascata

Il post del blog ha qualificato la ricompensa in Bitcoin , affermando che i BTC saranno erogati a discrezione di Ledger e prenderanno in considerazione una serie di fattori. Facendo eco ai commenti di Johnson, questi includono se le informazioni sono state ottenute legalmente, se sono nuove, quanto sono sostanziali e quanto andrebbero lontano verso l'avanzamento delle indagini e il successo dell'azione penale.

L'azienda spera anche di poter collaborare con altre aziende e individui nel settore Cripto per finanziare questa ricompensa. Immagina un fondo di ricompensa di uso generale, una sorta di fondazione per combattere truffe e attacchi di phishing in tutto il settore.

"Stiamo cercando attivamente di fare qualcosa per proteggere e migliorare quell'ecosistema", ha affermato Johnson.

Proteggere i tuoi Bitcoin anche quando la frase di recupero è condivisa

Il team di ingegneria di Ledger sta inoltre sviluppando un prodotto che "proteggerà i fondi di un utente anche se ha condiviso il suo seed di recupero con un aggressore".

Jerôme De Tychey, Global Head of Client Success di Ledger, ha affermato in un'e-mail che la maggior parte degli attacchi di phishing si basa sul fatto che i proprietari di Ledger NANO rivelino la loro frase di 24 parole. I truffatori colgono quel momento di panico opportuno in cui i proprietari credono che i loro fondi siano a rischio. Non è sempre possibile ricordare le misure di sicurezza cruciali in quel momento, soprattutto quando i truffatori si spacciano per personale di supporto Ledger.

"Stiamo riconoscendo questo problema e presto pubblicheremo una soluzione tecnica che rimuoverà le 24 parole come unico pilastro della sicurezza dei nostri portafogli hardware e aprirà anche la porta all'assicurazione dei fondi", ha affermato De Tychey in un'e-mail a CoinDesk

Andando avanti, come e quando queste modifiche saranno chiarite e implementate contribuirà notevolmente a riconquistare la fiducia degli utenti. Ma rappresentano un passo avanti per la sicurezza di Ledger dopo una violazione estesa dei dati e potrebbero funzionare per la comunità Cripto in generale. Con il boom Bitcoin e di altre altcoin, la sicurezza attorno a strumenti e prodotti Cripto è un processo iterativo.

"Ci sono sempre queste nuove vie che le persone tentano di sfruttare", ha detto Johnson. "Quindi dobbiamo fare questa continua rivalutazione e chiederci cos'altro possiamo fare per rendere tutto questo ancora più sicuro di quanto non sia oggi. I portafogli Ledger T sono stati compromessi, quindi stanno prendendo di mira gli elementi Human più e più volte. Quindi cos'altro possiamo fare? Cos'altro possiamo fare per aiutare a proteggere il cliente finale? Perché queste sono persone vere".

Aggiornato: 13 gennaio 202 16:14 UTC: L'importo della ricompensa in Bitcoin è stato modificato da 5 BTC a 10 BTC.

Aggiornato: 13 gennaio 202 16:31 UTC: Sono state aggiunte ulteriori informazioni sulla portata della violazione di Shopify.