BTC/USDT
--------
ETH/BTC
--------
LTC/BTC
--------
XRP/BTC
--------
ADA/BTC
--------
XLM/BTC
--------
NEO/BTC
--------
IOTA/BTC
--------
XMR/BTC
--------
XVG/BTC
--------

Datenleck bei Ledger

Admin

Administrator
Teammitglied
25 November 2017
560
328
Es gab ein Datenleck bei Ledger, näheres dazu im unteren rudimentär übersetzten Artikel.

1596062202406.png

Die Verletzung von E-Commerce- und Marketingdaten vom Juli 2020 angehen - eine Botschaft von Ledger's Leadership
29.07.2020 | Blog-Einträge


Was geschah
Am 14. Juli 2020 machte uns ein Forscher, der an unserem Kopfgeldprogramm teilnahm, auf eine mögliche Datenverletzung auf der Ledger-Website aufmerksam. Wir haben diese Verletzung sofort nach Erhalt des Berichts des Forschers behoben und uns einer internen Untersuchung unterzogen. Eine Woche nach dem Patchen der Lücke entdeckten wir, dass sie am 25. Juni 2020 von einem unbefugten Dritten weiter ausgenutzt wurde, der auf unsere E-Commerce- und Marketingdatenbank zugriff - die zum Versenden von Auftragsbestätigungen und Werbe-E-Mails verwendet wurde -, die hauptsächlich aus E-Mail-Adressen bestand, aber auch Kontakt- und Bestelldaten wie Vor- und Nachname, Postanschrift, E-Mail-Adresse und Telefonnummer enthielt. Ihre Zahlungsinformationen und Krypto-Gelder sind sicher.

Um so transparent wie möglich zu sein, wollen wir erklären, was passiert ist. Eine unbefugte Drittpartei hatte über einen API-Schlüssel Zugang zu einem Teil unserer E-Commerce- und Marketing-Datenbank. Der API-Schlüssel wurde deaktiviert und ist nicht mehr zugänglich.

Welche persönlichen Informationen waren betroffen?
Es handelte sich um Kontakt- und Bestelldaten. Dabei handelt es sich meist um die E-Mail-Adressen unserer Kunden, etwa 1M Adressen. Im Anschluss an die Untersuchung der Situation konnten wir auch feststellen, dass für eine Untergruppe von 9500 Kunden ebenfalls Angaben wie Vor- und Nachname, Postanschrift, Telefonnummer oder bestellte Produkte offengelegt wurden. Aufgrund des Umfangs dieser Verletzung und unserer Verpflichtung gegenüber unseren Kunden haben wir beschlossen, alle unsere Kunden über diese Situation zu informieren.

Die 9500 Kunden, deren detaillierte persönliche Daten offengelegt wurden, werden heute eine spezielle E-Mail erhalten, um weitere Einzelheiten mitzuteilen.

Was Ihre E-Commerce-Daten betrifft, so waren keine Zahlungsinformationen, keine Zugangsdaten (Passwörter) von dieser Datenverletzung betroffen. Sie betraf ausschließlich die Kontaktdaten unserer Kunden.

Diese Datenverletzung hat keinerlei Verbindung und keinerlei Auswirkungen auf unsere Hardware-Geldbörsen oder die Sicherheit von Ledger Live und Ihre Krypto-Vermögenswerte, die sicher sind und sich nie in Gefahr befanden. Sie sind der einzige, der die Kontrolle hat und auf diese Informationen zugreifen kann.

Was wir getan haben und was wir tun
Da sich das Problem auf E-Commerce- und Marketing-Kontaktinformationen beschränkte und wir es sofort beheben konnten, nahmen wir uns die Zeit, eine detaillierte interne Untersuchung mit Experten Dritter durchzuführen, bevor wir unsere Gemeinde warnten.

Am 17. Juli informierten wir die CNIL, die französische Datenschutzbehörde, die sicherstellt, dass das Datenschutzgesetz auf die Sammlung, Speicherung und Verwendung persönlicher Daten angewendet wird. Am 21. Juli gingen wir eine Partnerschaft mit Orange Cyberdefense ein, um den möglichen Schaden der Datenverletzung zu bewerten und mögliche Datenverletzungen zu identifizieren.

Nach einer gründlichen Untersuchung durch unser Sicherheitsteam und Orange Cyberdefense können wir feststellen, dass die E-Commerce- und Marketing-Datenbank verletzt wurde. Bis zum Zeitpunkt dieser Meldung werden alle betroffenen Kunden eine E-Mail mit dieser Aktualisierung erhalten haben.

Wir suchen aktiv nach Beweisen dafür, dass die Datenbank über das Internet verkauft wird, und haben bisher keine gefunden. Wir haben auch einen internen Penetrationstest durchgeführt und treiben den externen Penetrationstest voran, der ursprünglich für September geplant war.

Wir dehnen den Umfang unseres Sicherheits- und Organisationsprogramms, das sich ursprünglich auf unsere Produkte (HW & Vault) konzentrierte, auf den elektronischen Handel aus. Wir unternehmen Schritte zur Erfüllung der in ISO 27001 aufgeführten Anforderungen.

Wir reichen eine formelle Beschwerde bei den Behörden ein, um die Situation vollständig zu untersuchen.

Um die Privatsphäre unserer Kunden zu maximieren, wird Ledger Live, die begleitende App für Ihren Nano, in der keine Informationen über unsere Kunden gespeichert werden, die Hauptanlaufstelle für Informationen über neue Produktentwicklungen sowie unsere Social Media Accounts werden: Twitter, Facebook und LinkedIn.

Um unsere Datenschutzerklärung zu entdecken und zu verstehen, was wir mit Ihren Daten tun, klicken Sie bitte hier.

Was Sie tun können
Wir empfehlen Ihnen, Vorsicht walten zu lassen - achten Sie stets auf Phishing-Versuche böswilliger Betrüger. Um es einfach auszudrücken: Das Hauptbuch wird Sie niemals nach den 24 Wörtern Ihres Wiederherstellungssatzes fragen. Wenn Sie eine E-Mail erhalten, die so aussieht, als käme sie vom Ledger, in der Sie nach Ihren 24 Wörtern gefragt werden, sollten Sie dies auf jeden Fall als Phishing-Versuch betrachten.

Darüber hinaus empfehlen wir Ihnen, während wir alles in unserer Macht Stehende tun, den Sicherheitsabschnitt der Ledger-Akademie zu besuchen, um sich über allgemeine Sicherheitsprinzipien und insbesondere unseren Artikel über Phishing-Angriffe zu informieren.

Wir bedauern diesen Vorfall außerordentlich. Wir nehmen den Datenschutz sehr ernst, wir haben dieses Problem dank unseres eigenen Bug-Bounty-Programms entdeckt und sofort behoben. Aber ungeachtet all dessen, was wir getan haben, um diese Situation zu vermeiden und zu beheben, entschuldigen wir uns aufrichtig für die Unannehmlichkeiten, die Ihnen durch diese Angelegenheit entstehen können.

Wenn Sie Fragen haben, können Sie unsere FAQ lesen, und für weitere Informationen können Sie sich direkt an unseren Kundensupport wenden.


Übersetzt mit DeepL.com

Quelle: