Author

Topic: Ledger сообщил об утечке данных пользователей (Read 235 times)

newbie
Activity: 176
Merit: 0
Наверное если ваш имейл в том списке лучше отвязать все важные сервисы от этой почты, так на всякий случай мало ли что. Может спамить будт с фишинг письмами или ломать будут пытаться.

Нужно просто по умолчанию не доверять никаким входящим письмам и никогда не переходить по предложенным в ним ссылкам. Всегда набирайте нужный сайт в браузере и ищите подтверждающую информацию там. Тогда проблем с фишингом на 99% удастся избежать. А менять адреса постоянно — сомнительное удовольствие.
Возможно и так. Но этот адрес уже в базе, эта база теперь по рукам пойдет, причем как заточка под крипту, будут постоянно спамить, причем не просто какимито не нужными товарами, а именно крипто тематикой, и фишинг тоже будет с уклоном в крипту.
Я бы попытался максимально отвязать все свои сервисы от этой почты, просто так будет безопаснее.
legendary
Activity: 1974
Merit: 3049
У любых нормальных проектов вся это информация продублирована в новостях на сайте или в официальном блоге разработчиков, а если её там нет, но очень опасаетесь, лучше перебдеть и через контакты с официального сайта спросить, правда ли такие новости актуальны и почему о них нет на сайте информации. А оправдывать этим переходы по ссылкам в почте — это просто вопрос лени сделать несколькими кликами больше.
И какой процент пользователей сохраняет в закладки все эти блоги, твиттеры, дискорды и прочие места самовыражения разработчиков ? Один из десяти в лучшем случае. Остальные все пользуются себе и не особенно читают что там разработчики пишут. Обновляют прошивки только время от времени. В этом и проблема.

Мы находимся в разделе для новичков и я прямым текстом советую по умолчанию не доверять никакой информации, приходящей в незапрошенных специально письмах. Как думаете, зачем я это рекомендую? Наверное, как раз потому, что далеко не все понимают, что так безопаснее, что постоянно находятся люди, которые пытаются рассылать вирусы разными способами, а также которые пытаются воровать различную информацию, включая пароли и платёжные данные.
full member
Activity: 224
Merit: 100
У любых нормальных проектов вся это информация продублирована в новостях на сайте или в официальном блоге разработчиков, а если её там нет, но очень опасаетесь, лучше перебдеть и через контакты с официального сайта спросить, правда ли такие новости актуальны и почему о них нет на сайте информации. А оправдывать этим переходы по ссылкам в почте — это просто вопрос лени сделать несколькими кликами больше.
И какой процент пользователей сохраняет в закладки все эти блоги, твиттеры, дискорды и прочие места самовыражения разработчиков ? Один из десяти в лучшем случае. Остальные все пользуются себе и не особенно читают что там разработчики пишут. Обновляют прошивки только время от времени. В этом и проблема.
legendary
Activity: 1974
Merit: 3049

Нужно просто по умолчанию не доверять никаким входящим письмам и никогда не переходить по предложенным в ним ссылкам. Всегда набирайте нужный сайт в браузере и ищите подтверждающую информацию там. Тогда проблем с фишингом на 99% удастся избежать. А менять адреса постоянно — сомнительное удовольствие.
В этих входящих письмах порой содержится нечто полезное, обновления прошивок например для кошельков, или еще какая-то информация о новых функциях кошелька. И обновления эти бывают кстати критическими. Если не будешь их вовремя устанавливать то без актуальной прошивки можешь точно так же потом попасть в неприятности. Вероятность этого обычно довольно мала но риск имеется все равно.

У любых нормальных проектов вся это информация продублирована в новостях на сайте или в официальном блоге разработчиков, а если её там нет, но очень опасаетесь, лучше перебдеть и через контакты с официального сайта спросить, правда ли такие новости актуальны и почему о них нет на сайте информации. А оправдывать этим переходы по ссылкам в почте — это просто вопрос лени сделать несколькими кликами больше.
full member
Activity: 224
Merit: 100

Нужно просто по умолчанию не доверять никаким входящим письмам и никогда не переходить по предложенным в ним ссылкам. Всегда набирайте нужный сайт в браузере и ищите подтверждающую информацию там. Тогда проблем с фишингом на 99% удастся избежать. А менять адреса постоянно — сомнительное удовольствие.
В этих входящих письмах порой содержится нечто полезное, обновления прошивок например для кошельков, или еще какая-то информация о новых функциях кошелька. И обновления эти бывают кстати критическими. Если не будешь их вовремя устанавливать то без актуальной прошивки можешь точно так же потом попасть в неприятности. Вероятность этого обычно довольно мала но риск имеется все равно.
legendary
Activity: 1974
Merit: 3049
Наверное если ваш имейл в том списке лучше отвязать все важные сервисы от этой почты, так на всякий случай мало ли что. Может спамить будт с фишинг письмами или ломать будут пытаться.

Нужно просто по умолчанию не доверять никаким входящим письмам и никогда не переходить по предложенным в ним ссылкам. Всегда набирайте нужный сайт в браузере и ищите подтверждающую информацию там. Тогда проблем с фишингом на 99% удастся избежать. А менять адреса постоянно — сомнительное удовольствие.
newbie
Activity: 176
Merit: 0
Наверное если ваш имейл в том списке лучше отвязать все важные сервисы от этой почты, так на всякий случай мало ли что. Может спамить будт с фишинг письмами или ломать будут пытаться.
legendary
Activity: 2618
Merit: 1505
Очередной фейл леджера, который уже по счёту за последний год. Мда. Sad

На будущее вам, при переводе текста постарайтесь его форматировать в близкий к оригиналу формат. Эти стены текста без всяческого пробела между абзацами тяжело читать. Всё в кучу у вас.


Благодарю за конструктивную критику, теперь выглядит лучше? Smiley
legendary
Activity: 2618
Merit: 1505
                                                                   Руководство Ladger сообщает об устранении уязвимости касающейся утечки данных в области электронной коммерции и маркетинга в июле 2020.
                                                                      оригинал здесь: https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach

                                                                                                                                                   Что произошло
     14 июля 2020 года исследователь, участвующий в нашей программе Баунти сообщил нам об обнаружении потенциальной угрозы утечки данных на веб-сайте Ledger.
     Мы немедленно исправили эту уязвимость после получения отчета исследователя и провели внутреннее расследование.
 
     Через неделю после исправления уязвимости мы обнаружили, что данную уязвимость использовала третья сторона 25 июня 2020 года для несанкционированного доступа к нашей базе данных электронной коммерции и
     маркетинга, используемой для отправки подтверждений заказов и рекламных писем, состоящей в основном из адресов электронной почты, но с подмножеством, включающим также контактные данные и детали заказа,
     такие как имя и фамилия, почтовый адрес, адрес электронной почты и номер телефона. Платежная информация и крипто-фонды оставались в безопасности.

     Из соображений открытости, мы хотим объяснить, что произошло. Несанкционированный доступ третьей стороны к части нашей базы данных электронной коммерции и маркетинга был осуществлен через API-ключ.
     Ключ API был деактивирован и больше не доступен.

                                                                                                                            Какая личная информация была скомпрометированы?
      Были скомпрометированы сведения о контактах и заказах. Это в основном адрес электронной почты наших клиентов, около 1000000 адресов. В дальнейшем для изучения ситуации мы также смогли установить, что у 9500
      клиентов стали также доступны данные, такие как имя и фамилия, почтовый адрес, номер телефона или заказанные ими продукты.

      В связи с масштабами этой утечки и приверженности компании нашим клиентам, мы решили информировать всех наших клиентов об этой ситуации.
      Что касается ваших данных электронной коммерции, то ни платежная информация, ни учетные данные (пароли), не были затронуты. Инцендент повлиял исключительно на контактные данные наших клиентов.
 
     Эта утечка данных не имеет никакой связи и никакого влияния на наши аппаратные кошельки, ни на безопасность Ledger Live и ваши криптоактивы, которые являются безопасными и никогда не были в опасности.
     Вы единственный, кто контролирует эту информацию и может получить доступ к этой информации.
 
                                                                                                                                                  Что мы сделали и что мы делаем
     Поскольку проблема была ограничена контактной информацией в отношении электронной коммерции и маркетинга, и мы смогли немедленно исправить ее, мы потратили время на детальное внутреннее расследование со
     сторонними экспертами, прежде чем предупредить наше сообщество.

     17 июля мы уведомили CNIL, Французское управление по защите данных, которое обеспечивает применение закона о конфиденциальности данных в отношении сбора, хранения и использования персональных данных. 21
     июля мы установили партнерские отношения с Orange Cyberdefense для оценки потенциального ущерба от взлома данных и выявления потенциальных утечек данных.

     После тщательного расследования, проведенного нашей службой безопасности и Orange Cyberdefense, мы можем сделать вывод, что база данных электронной коммерции и маркетинга была взломана. Ко времени этой
     публикации все затронутые клиенты получат электронное письмо с этим обновлением.
  
     Мы активно следим за доказательствами того, что база данных продается в Интернете, и пока не нашли ни одного. Мы также провели внутреннее тестирование на проникновение и ускоряем начало внешнего тестирования
     на проникновение, которое изначально планировалось на сентябрь.

      Мы расширяем сферу электронной коммерции в рамках нашей программы обеспечения безопасности и организации, изначально фокусируясь на наших продуктах (HW & Vault). Мы предпринимаем шаги для удовлетворения
      требований, перечисленных в ISO 27001.

      Мы подаем официальную жалобу в органы власти для полного расследования ситуации.

      Чтобы максимизировать конфиденциальность наших клиентов, Ledger Live, приложение-компаньон для вашего Nano, которое не хранит никакой информации о наших клиентах, станет основным контактным лицом для
      получения информации о новых разработках продуктов, и о наших учетных записях в социальных сетях: Twitter , Facebook  и LinkedIn.

                          Для ознакомления с нашей Политикой конфиденциальности и понимания того, что мы делаем с вашими данными, нажмите здесь

                                                                                                                                                   Что можешь сделать ты
     Мы рекомендуем вам соблюдать осторожность - всегда помните о попытках фишинга со стороны злоумышленников. Проще говоря, Ledger никогда не спросит вас о 24 словах вашей фразы восстановления .
     Если вы получили электронное письмо, которое, похоже, пришло от Леджера с просьбой указать 24 слова, вы обязательно должны считать это попыткой фишинга.

     Кроме того, хотя мы делаем все возможное, мы предлагаем вам посетить раздел  академии безопасности Ledger, чтобы ознакомиться с общими принципами безопасности, а
     точнее - с нашей статьей о  фишинговых атаках.

     Мы очень сожалеем об этом инциденте. Мы очень серьезно относимся к конфиденциальности, мы обнаружили эту проблему благодаря нашей собственной программе баунти-багов и сразу же исправили ее.
     Но независимо от всего, что мы сделали, чтобы избежать и исправить эту ситуацию, мы приносим искренние извинения за неудобства, которые может причинить вам этот вопрос.

     Если у вас есть какие-либо вопросы, вы можете прочитать наши часто задаваемые вопросы, а для получения дополнительной информации вы можете
     напрямую связаться с нашей службой поддержки.
Jump to: