黑客入侵后Ledger增加了比特币赏金和新数据安全性

Ledger的新首席信息安全官（CISO）的Matt Johnson别无选择，只能站稳脚跟，不仅冲刺，而且冲刺。 在他工作的第一周，他仔细研究了从大量客户信息数据转储产生的影响，以及数据安全性和比特币抽水带来的更多攻击等其他领域。

在公司历史上最大的黑客事件发生后，以及约翰逊开始任职后的一个多星期，硬件钱包公司Ledger宣布了其第一个解决数据泄露问题的措施，并确保不再发生此类黑客事件。

其中包括与区块链分析公司Chainalysis合作以搜寻黑客，提供10 BTC赏金以获取导致黑客被捕的信息，并对公司持有的信息，存储的位置以及保留的时间进行全面审查。

Ledger骇客

Ledger公开透露，客户信息已在2020年7月遭到破坏。当时，该公司估计有9,500个客户受到黑客攻击。 在接下来的几个月中，CoinDesk记录了一系列由黑客执行的令人信服的网络钓鱼尝试，包括模仿Ledger官方信件和电子邮件的电子邮件。

订阅我们关于市场的每日新闻第一移动公司（First Mover）。通过注册，您将收到有关CoinDesk产品的电子邮件，并且您同意我们的条款和条件以及隐私政策。

然后，到2020年12月，数据转储“暴露了100万个电子邮件地址和272,000个名称，邮寄地址和电话号码，这些人属于订购Ledger设备的人，这些设备存储了加密货币钱包的私钥，” CoinDesk报告。 受影响的人数远高于最初估计的9,500人。

在数据转储后的几天里，出现了大量的SIM交换，一些客户开始收到勒索电子邮件，包括暴力威胁。

现在，莱杰（Ledger）已发布有关该黑客的新信息，表明这很可能部分归因于当时其电子商务合作伙伴Shopify的流氓演员。

阅读更多：Ledger为什么将所有客户数据保留在首位Shopify的流氓代理

2020年12月23日，Shopify通知Ledger“涉及商家数据的事件，其中支持团队的流氓成员获得了客户交易记录，包括Ledger的记录。 代理在2020年4月和2020年6月非法出口了客户交易记录。”

Shopify告诉Ledger，数据泄露是其2020年9月披露的一部分，涉及200多家商家。 不过，直到2020年12月21日，Shopify才“发现Ledger也成为这次袭击的目标。” Shopify告诉莱杰（Ledger），它正在继续调查，该问题已报告给执法部门。

在去年12月的一次采访中，莱杰（Ledger）首席执行官帕斯卡尔（Pascal Gauthier）告诉CoinDesk，最初的黑客行为部分是由于公司如此迅速地扩展，他和即将上任的首席信息安全官马特·约翰逊（Matt Johnson）将宣布一项新的数据政策，并计划进一步解决该问题。一月泄漏。

今天，莱杰宣布了其未来计划。

黑客入侵后Ledger的数据安全

首先，Ledger在博客中重申，该公司绝不会要求客户提供24个恢复字，这些恢复字可用于访问比特币和加密钱包。 他们还强调，只要客户未共享这些词语，他们的Ledger硬件设备就是安全的。

“我们宣布Ledger收集和处理客户数据的方式方面的变化：在法律上尽可能短地保留个人数据，最大程度地减少电子邮件中个人数据的显示，在进一步隔离的环境中尽快移动所需的数据，并创建一个安全的渠道，以通过Ledger Live与我们的客户进行1：1交流，”包括新的CISO Matt Johnson在内的作者写道。

首先，Ledger正在改变其存储数据的方式。 约翰逊在一次采访中说，尽管他不想完全不必保留用户数据，但该公司依法有义务在一段时间内保留用户数据。 约翰逊说，但是莱杰（Ledger）希望超越欧盟《通用保护数据条例》要求的隐私范围。

约翰逊说：“通过超越GDPR，我们的意思是’保存数据的时间不超过GDPR所要求的时间’，而恰恰相反。” “我们的目标是尽快删除姓名，地址和电话号码等数据，即使我们可以将其保留在GDPR之内。 但是，某些数据将需要继续履行我们的法律义务，例如会计或税收要求，并且将进一步隔离这些数据以限制其访问。”

了解更多：“令人信服”的网络钓鱼攻击针对Ledger硬件钱包用户删除，删除，删除

展望未来，Ledger将在其订单完成后立即从其电子商务合作伙伴中删除数据，并将客户数据移至无法从互联网访问的数据库，然后在其具有合法能力后立即将其删除。

该公司还将从发送给客户的确认电子邮件中删除姓名，地址和电话号码，以使该数据不会通过第三方电子商务电子邮件提供商传递。

电子邮件和社交媒体将仅用于营销信息和公告，正在建立Ledger Live帐户以交流技术和安全信息，这似乎是在避免以前的网络钓鱼诈骗实例，在这种情况下，诈骗者鼓励Ledger用户通过以下方式下载重要的安全更新：看起来很真实的电子邮件。

最后，约翰逊将对处理数据的第三方进行全面审查。

约翰逊在Zoom通话中说：“我将检查并检查我们必须共享或传输的数据，作为供应链一部分的第三方的每个第三方。”

“我们将仔细研究并确保其所有流程都是适当且严格的，因为如果我们将数据委托给他们，我们需要100％确保他们实际上在他们的最大努力下运行能够满足所有这些最低要求，并且最好推动它们超越这一最低要求。”

比特币赏金和执法

Ledger与各种执法机构以及区块链分析公司Chainalysis合作。 它甚至设立了比特币赏金来获取与黑客行为负责人有关的信息。

约翰逊说：“我们正在减少潜在客户，因此，如果有可能，我们实际上可以追回被盗资金，如果有可能的话。” “我们希望确保所有信息均以合法方式获得并直接与执法机构共享。

约翰逊说，莱杰（Ledger）希望确保所有信息的收集都是合法的，并且“高于一切”，目的是起诉责任个人。

阅读更多：从SIM卡交换到家庭入侵威胁，Ledger泄漏都有一系列后果

博客文章对比特币的赏金进行了限定，称将由Ledger酌情分配BTC，并将考虑多种因素。 在回应约翰逊的评论时，这些内容包括信息是否已经合法获得，信息是否是新的，信息的实质性程度以及它将进一步促进调查和成功起诉的程度。

该公司还希望可以与加密行业中的其他公司和个人合作，以资助这项悬赏计划。 它设想了一个通用目的的赏金基金，该基金是打击整个行业的欺诈和网络钓鱼攻击的基础。

约翰逊说：“我们正在积极尝试做些事情来保护和改善这个生态系统。”

即使共享恢复短语，也可以保护您的比特币

Ledger工程团队还在开发一种产品，“即使用户与攻击者共享了恢复种子，也将保护用户的资金”。

Ledger客户成功全球负责人Jer?meDe Tychey在一封电子邮件中表示，大多数网络钓鱼攻击都依赖于使Ledger Nano所有者泄露其24个单词的短语。 诈骗者抓住了恐慌的时机，业主认为他们的资金有风险。 那时并不总是可能记住重要的安全措施，尤其是当骗子冒充Ledger支持人员时。

De Tychey在一封电子邮件中说：“我们已经意识到了这个问题，我们将很快发布一种技术解决方案，该技术解决方案将取消24个单词，这是我们硬件钱包安全性的唯一支柱，并且也将为保险基金打开大门。”硬币桌

继续前进，如何以及何时澄清和实施这些更改将对重新获得用户的信任有很大帮助。 但是，在发生大规模数据泄露之后，它们代表了Ledger的安全性的进步，并且可能更广泛地适用于加密社区。 随着比特币和其他山寨币的蓬勃发展，围绕加密工具和产品的安全性是一个反复的过程。

约翰逊说：“人们总是尝试利用这些新途径。” “因此，我们必须进行持续的重新评估，并问我们还可以做些什么来使它比今天更加安全。 账本钱包没有受到破坏，因此它们一次又一次地追求人为因素。 那我们还能做什么？ 我们还能做些什么来帮助保护最终客户？ 因为这些都是真实的人。”

更新时间：202年1月13日世界标准时间16:14：比特币的赏金数额已从5 BTC更改为10 BTC。

—-

原文链接：https://www.coindesk.com/ledger-bitcoin-bounty-new-data-security-after-hack

原文作者：Benjamin Powers

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。