Ang Ledger ay Nagdaragdag ng Bitcoin Bounty at Bagong Data Security Pagkatapos ng Pag-hack

Si Matt Johnson, ang bagong Chief Information Security Officer (CISO) ng Ledger, ay walang pagpipilian kundi ang tumama sa lupa hindi lamang tumatakbo kundi, well, sprinting. Ang kanyang unang linggo ng trabaho ay nangangailangan ng pagsisiyasat sa fallout mula sa isang malawak na data dump ng impormasyon ng customer, bukod sa iba pang mga lugar tulad ng data security at mas mataas na mga pag-atake na darating bilang isang byproduct ng Bitcoin pumping.

Sa resulta ng pinakamalaking hack sa kasaysayan ng kumpanya, at mahigit isang linggo pagkatapos magsimula si Johnson, inihayag ng kumpanya ng hardware wallet na Ledger ang mga unang hakbang nito upang matugunan ang paglabag sa data at matiyak na T mauulit ang naturang hack.

Kabilang dito ang pakikipagtulungan sa blockchain analytics firm Chainalysis upang manghuli ng mga hacker, na nag-aalok ng 10 BTC bounty para sa impormasyon na humahantong sa pag-aresto sa hacker at paglikha ng isang komprehensibong pagsusuri sa kung anong impormasyon ang pinanghahawakan ng kumpanya, kung saan ito nakaimbak at kung gaano katagal ito pinananatili.

Kasabay nito, isiniwalat ng Ledger na dahil sa mga buhong na aktor sa kasosyo sa e-commerce na Shopify, 20,000 mga bagong rekord ng customer, kabilang ang mga email, pangalan, postal address at numero ng telepono, kasama kung anong mga produkto ang na-order, ang nalantad.

Ang Ledger hack

Ibinunyag sa publiko ng Ledger na nakompromiso ang impormasyon ng customer noong Hulyo 2020. Noong panahong iyon, tinantya ng kumpanya 9,500 ang mga customer ay naapektuhan ng hack. Sa mga sumunod na buwan, naidokumento ng CoinDesk ang isang string ng mga nakakumbinsi na pagtatangka sa phishing na isinagawa ng mga hacker, kabilang ang mga email na ginaya ang opisyal na Ledger na sulat at mga text message.

Pagkatapos, noong Disyembre 2020, a pagtatapon ng data "Nalantad ang 1 milyong email address at 272,000 pangalan, mailing address at numero ng telepono na pagmamay-ari ng mga taong nag-order ng mga device ng Ledger, na nag-iimbak ng mga pribadong key para sa mga wallet ng Cryptocurrency ," gaya ng iniulat ng CoinDesk . Ang bilang ng mga taong naapektuhan ay mas mataas kaysa sa orihinal na pagtatantya ng 9,500.

Isang pantal na pagpapalit ng SIM ang naiulat sa mga araw pagkatapos ng data dump at nagsimulang makakuha ang ilang customer pangingikil mga email, kabilang ang mga banta ng karahasan.

Sa isang panayam noong nakaraang Disyembre, sinabi ng CEO ng Ledger na si Pascal Gauthier sa CoinDesk na ang unang pag-hack ay, sa bahagi, isang resulta ng mabilis na pag-scale ng kumpanya, at na siya at ang papasok na CISO na si Matt Johnson ay mag-aanunsyo ng isang bagong Policy sa data at planong higit pang tugunan ang mga pagtagas sa Enero.

Ngayon, ang Ledger ay naglabas ng bagong impormasyon tungkol sa hack, na nagpapakita na ito ay malamang na dahil, sa bahagi, sa mga buhong na aktor sa Shopify, ang kasosyo nito sa e-commerce noong panahong iyon.

Read More: Bakit Itinago ng Ledger ang Lahat ng Data ng Customer sa Unang Lugar

Mga bastos na ahente ng Shopify

Noong Dis. 23, 2020, inabisuhan ng Shopify ang Ledger tungkol sa isang insidente na "nagsasangkot ng data ng merchant kung saan ang (mga) rogue na miyembro ng kanilang team ng suporta ay nakakuha ng mga rekord ng transaksyon ng customer, kasama ang Ledger's. Ang (mga) ahente ay ilegal na nag-export ng mga rekord ng transaksyon ng customer noong Abril at Hunyo 2020," ayon sa isang post sa blog.

Sinabi ng Shopify sa Ledger na ang paglabag sa data ay bahagi ng Disclosure nito Setyembre 2020, na kinasasangkutan ng mahigit 200 mangangalakal. Gayunpaman, hanggang Disyembre 21, 2020, ang Shopify ay hindi "natuklasan na ang Ledger ay na-target din sa pag-atakeng ito." Sinabi ng Shopify sa Ledger na nagpapatuloy ito sa pagsisiyasat at ang isyu ay naiulat na sa pagpapatupad ng batas.

Kasabay ng forensic firm na Orange Cyberdefense, sinuri ng Ledger ang 292,000 ninakaw na mga talaan ng data. Napag-alaman na habang ang database ay medyo katulad ng personal na impormasyon na nakalantad sa nakaraang pag-atake, mayroong 20,000 bagong mga talaan ng customer na nakompromiso.

Sinabi ng kumpanya na inabisuhan nito ang mga customer na naapektuhan noong Enero 13.

Seguridad ng data ng Ledger pagkatapos ng hack

Una at pangunahin, sa isang post sa blog, inulit ng Ledger na hindi kailanman hihilingin ng kumpanya sa mga customer ang kanilang 24 na mga salita sa pagbawi, na maaaring magamit upang ma-access ang mga Bitcoin at Crypto wallet. Binigyang-diin din nila na hangga't hindi ibinabahagi ng mga customer ang mga salitang ito, ligtas ang kanilang mga kagamitan sa Ledger hardware.

"Nag-aanunsyo kami ng mga pagbabago sa paraan ng pagkolekta at pangangasiwa ng Ledger sa data ng customer: pagpapanatili ng personal na data sa pinakamaikling panahon hangga't legal na posible, pagliit ng pagpapakita ng personal na data sa mga email, paglipat ng kinakailangang data sa higit pang hiwalay na kapaligiran sa lalong madaling panahon, at paglikha ng secure na channel para sa pakikipag-ugnayan sa aming mga customer sa 1:1 sa pamamagitan ng Ledger Live," ang mga may-akda, kabilang ang bagong CISO Matt Johnson, nagsulat.

Una, binabago ng Ledger ang paraan ng pag-iimbak nito ng data. Sa isang panayam, sinabi ni Johnson na bagama't mas gugustuhin niyang huwag nang hawakan ang data ng user, legal na obligado ang kumpanya na gawin ito sa loob ng isang panahon. Ngunit ang Ledger ay naghahanap na lumampas sa kung ano ang kinakailangan ng Privacy ng European Union's General Protection Data Regulation, ayon kay Johnson.

"Sa pamamagitan ng paglampas sa GDPR, ang ibig naming sabihin ay hindi 'paghawak ng data nang mas mahaba kaysa sa kinakailangan ng GDPR', ngunit kabaligtaran," sabi ni Johnson. "Ang aming layunin ay tanggalin ang data tulad ng pangalan, address, at numero ng telepono sa lalong madaling panahon, kahit na payagan kaming KEEP ang mga ito sa ilalim ng GDPR. Gayunpaman, ang ilang data ay kakailanganin naming KEEP upang matupad ang aming mga legal na obligasyon tulad ng mga kinakailangan sa accounting o buwis, at ang data na ito ay higit pang ihihiwalay upang limitahan ang pag-access nito."

Read More: Ang 'Nakakakumbinsi' na Pag-atake sa Phishing ay Nagta-target sa mga Gumagamit ng Ledger Hardware Wallet

Tanggalin, tanggalin, tanggalin

Sa pasulong, tatanggalin ng Ledger ang data mula sa kasosyo nito sa e-commerce pati na rin ang ililipat ng data ng customer sa isang database na T ma-access mula sa internet sa sandaling matupad ang iyong order, bago ito tanggalin sa sandaling legal na nilang magawa.

Tatanggalin din ng kumpanya ang mga pangalan, address at numero ng telepono mula sa mga email ng kumpirmasyon na ipinadala sa mga customer upang ang data na ito ay hindi maipasa sa mga third-party na e-commerce na email provider.

Ang email at social media ay gagamitin lamang para sa mga mensahe at anunsyo sa marketing, ang mga Ledger Live na account ay ise-set up upang ipaalam ang teknikal at impormasyong panseguridad, na tila upang maiwasan ang mga pagkakataon ng mga nakaraang phishing scam, kung saan hinikayat ng mga scammer ang mga user ng Ledger na mag-download ng mahahalagang update sa seguridad sa pamamagitan ng mga email na mukhang tunay.

Sa wakas, gagawa si Johnson ng komprehensibong pagsusuri ng mga third party na humahawak sa data.

"Dadaanan ko at gagawa ng pagsusuri sa bawat ONE sa aming mga ikatlong partido na kailangan naming ibahagi o magkaroon ng paghahatid ng data bilang bahagi ng supply chain," sabi ni Johnson sa isang tawag sa Zoom.

“Pagdadaanan namin at titingnan namin ang pagtiyak na ang lahat ng kanilang mga proseso ay angkop at mahigpit, dahil kung ipinagkakatiwala namin ang aming data sa kanila, kailangan naming maging 100% sigurado na sila ay aktwal na gumagana sa abot ng kanilang kakayahan upang matugunan ang lahat ng mga minimal na kinakailangan, at mas mainam na itulak sila na lampasan iyon."

Isang Bitcoin bounty at pagpapatupad ng batas

Nakikipagtulungan ang Ledger sa iba't ibang ahensyang nagpapatupad ng batas gayundin sa blockchain analytics firm Chainalysis. Nag-set up pa ito ng Bitcoin bounty para sa impormasyong nauugnay sa mga responsable sa hack.

"Kami ay nagpapatakbo ng down na mga lead upang maaari naming aktwal na mabawi, kung iyon ay posible, ninakaw na mga pondo kung ito ay landing sa palitan," sabi ni Johnson. “Nais naming tiyakin na ang impormasyon ay nakukuha sa legal na paraan at direktang ibinabahagi sa mga ahensyang nagpapatupad ng batas.

Sinabi ni Johnson na nais ng Ledger na tiyakin na ang lahat ng pangangalap ng impormasyon ay ginagawa nang legal at “above board” na may layuning usigin ang mga indibidwal na responsable.

Read More: Mula sa SIM-Swaps hanggang sa Home-Invasion Threats, Ang Ledger Leak ay May mga Cascading Consequences

Ang blog post ay naging kwalipikado sa Bitcoin bounty, na nagsasaad na ang BTC ay ibibigay sa pagpapasya ng Ledger at isasaalang-alang ang iba't ibang mga kadahilanan. Sa pag-echo ng mga komento ni Johnson, kabilang dito kung nakuha na ang impormasyon nang legal, bago man ito, gaano ito katibay at kung gaano ito aabot sa pagpapatuloy ng imbestigasyon at matagumpay na pag-uusig.

Inaasahan din ng kumpanya na maaari itong makipagtulungan sa iba pang mga kumpanya at indibidwal sa industriya ng Crypto upang pondohan ang bounty na ito. Nag-iisip ito ng pangkalahatang layunin ng bounty fund, isang uri ng pundasyon upang labanan ang mga pag-atake ng scamming at phishing sa buong industriya.

"Kami ay aktibong nagsisikap na gumawa ng mga bagay upang maprotektahan at mapabuti ang ecosystem na iyon," sabi ni Johnson.

Pinoprotektahan ang iyong Bitcoin kahit na ibinahagi ang parirala sa pagbawi

Gumagawa din ang Ledger engineering team ng isang produkto na "magpoprotekta sa mga pondo ng isang user kahit na ibinahagi nila ang kanilang recovery seed sa isang attacker."

Sinabi ni Jerôme De Tychey, Global Head of Client Success sa Ledger, sa isang email na ang karamihan sa mga pag-atake sa phishing ay umaasa sa paggawa ng mga may-ari ng Ledger NANO na ibunyag ang kanilang 24 na salita na parirala. Sinasamantala ng mga scammer ang tamang sandali ng panic kung saan naniniwala ang mga may-ari na nasa panganib ang kanilang mga pondo. Ang pag-alala sa mahahalagang hakbang sa kaligtasan sa sandaling iyon ay hindi laging posible, lalo na kapag ang mga scammer ay nagpapanggap bilang staff ng suporta sa Ledger.

"Kinikilala namin ang problemang ito at malapit na kaming maglabas ng isang teknikal na solusyon na aalisin ang 24 na salita bilang nag-iisang haligi ng seguridad ng aming mga wallet ng hardware at magbubukas din ng pinto upang pondohan ang seguro," sabi ni De Tychey sa isang email sa CoinDesk

Sa pagpapatuloy, kung paano at kailan nililinaw at ipinatupad ang mga pagbabagong ito ay malaki ang maitutulong upang maibalik ang tiwala ng mga user. Ngunit kinakatawan nila ang isang hakbang pasulong para sa seguridad ng Ledger pagkatapos ng isang malawak na paglabag sa data, at maaaring gumana para sa komunidad ng Crypto sa pangkalahatan. Sa pag-usbong ng Bitcoin at iba pang mga altcoin, ang seguridad sa paligid ng mga tool at produkto ng Crypto ay isang umuulit na proseso.

"Palaging may mga bagong paraan na sinusubukan ng mga tao na pagsamantalahan," sabi ni Johnson. "Kaya kailangan nating gawin ang patuloy na reassessment na iyon at itanong kung ano pa ang maaari nating gawin para mas maging secure ito kaysa sa kung ano ito ngayon. Ang mga wallet ng ledger ay T nakompromiso, kaya paulit-ulit nilang hinahabol ang mga elemento ng Human . Kaya ano pa ang magagawa natin? Ano pa ang maaari nating gawin para makatulong na protektahan ang end customer? Dahil ito ay mga totoong tao."

Na-update: Ene. 13, 202 16:14 UTC: Ang halaga ng Bitcoin bounty ay binago mula 5 BTC hanggang 10 BTC.

Na-update: Ene. 13, 202 16:31 UTC: Ang karagdagang impormasyon tungkol sa saklaw ng paglabag sa Shopify ay idinagdag.