(AR/FR/SPA/GER) خرق بيانات التجارة الإلكترونية والتسويق - الأسئلة الشائعة

العربية Français Español Deutsch

خرق بيانات التجارة الإلكترونية والتسويق - الأسئلة الشائعة

في 14 يوليو، تواصل معنا باحث من خلال برنامج المكافآت (bounty) الخاص بنا لإبلاغنا بخرق بيانات في قاعدة بيانات التجارة الإلكترونية والتسويق لدينا. قمنا على الفور بإصلاح خرق البيانات وبدأنا في إجراء تحقيقات داخلية. وجدنا أن البيانات المكشوفة كانت خاضعة لوصول غير مصرح به. أموالك في أمان.

في 20 ديسمبر، تم إبلاغنا بتفريغ محتوى قاعدة بيانات عملاء Ledger. ما زلنا نحقق في الأمر، لكن الدلالات الأولية تشير أن هذه البيانات قد تكون هي فعلاً محتويات قاعدة بيانات التجارة الإلكترونية التي تم اختراقها سابقاً.

في 23 ديسمبر، تلقينا إخطاراً من Shopify، مزود خدمة التجارة الإلكترونية لدينا، بخصوص واقعة تتعلق ببيانات التجار حيث حصل عضو محتال (أعضاء محتالون) من فريق الدعم لديهم على سجلات معاملات العملاء، بما فيهم سجلات Ledger.

يُرجى العثور على إجابات للأسئلة الشائعة أدناه. للحصول على تفاصيل حول خرق البيانات، اطلع على منشورنا على المدونة  وبالنسبة لواقعة Shopify، راجع هذه المقالة.

هل تم اختراق بياناتي الشخصية (الاسم والعنوان ورقم الهاتف)؟

بعد أن اكتشفنا الاختراق في شهر يوليو، أرسلنا بريداً إلكترونياً إلى 9500 عميل متأثر أكدت لنا السجلات لدينا تسريب بياناتهم الشخصية. إذا لم تتلق هذا البريد الإلكتروني  في ذلك الوقت، فليس لدينا دليلاً على أن بياناتك الشخصية قد تم تسريبها بخلاف عنوان بريدك الإلكتروني.

بعد أن علمنا بما حدث من تفريغ للبيانات في 20 ديسمبر، أصبح من الواضح تعرض مجموعة فرعية أكبر من العملاء الأوليين البالغ عددهم 9500 عميل لكشف بياناتهم الشخصية. لذا أرسلنا بريداً إلكترونياً إلى جميع العملاء في هذه المجموعة الفرعية (قرابة 272000 شخصاً) بهذا الخصوص. إذا كنت ضمن هذه المجموعة الفرعية التي تم الكشف عن معلوماتهم الشخصية التفصيلية، فمن المؤكد أنك تلقيت بريداً إلكترونياً محدداً يخطرك بذلك في 21 ديسمبر 2020.

في 13 يناير، تواصلنا مع حوالي 292.000 عميلاً تأثروا بخرق Shopify. إذا تعرضت بياناتك للاختراق في خرق بيانات Shopify هذا، فقد تم إخطارك بالبريد الإلكتروني- وكان عنوان البريد الإلكتروني "SECURITY NOTICE: Ledger included in Shopify database breach [إخطار أمان: شركة Ledger ضمن خرق قاعدة بيانات Shopify]" وتم إرساله في 13 يناير 2021 حوالي الساعة 4 مساءً - بتوقيت وسط أوروبا.

ماذا حدث في خرق البيانات المبلغ عنه في شهر يوليو 2020؟

تمكن أحد المهاجمين من الوصول إلى جزء من قاعدة بيانات التجارة الإلكترونية والتسويق لدينا من خلال مفتاح واجهة برمجة تطبيقات تابعة لطرف ثالث تم تكوينه بشكل خاطئ على موقعنا الإلكتروني، وهو ما سمح بالوصول غير المصرح به إلى بيانات الاتصال بعملائنا وبيانات الطلبات.

من هم حل الطرف الثالث؟ لماذا كانوا يعالجون بيانات العملاء؟

تستخدم فرق التجارة الإلكترونية والتسويق في Ledger حلاً من طرف ثالث (Iterable) لإرسال وتحليل رسائل البريد الإلكتروني الخاصة بالمعاملات والتسويق إلى العملاء الذين اشتروا منتجات على موقع Ledger.com أو اشتركوا في خدمة استلام رسائلنا الإخبارية.

منذ متى هذه المشكلة موجودة؟

التكوين الخاطئ لمفتاح واجهة برمجة التطبيقات للطرف الثالث المعني يعمل منذ 9 أغسطس 2018. استناداً إلى الأدلة والسجلات لدينا، نعتقد أنه تم الكشف عنها واستغلالها من شهر أبريل 2020 إلى 28 يونيو 2020. 

ماذا حدث مع Shopify؟

في 23 ديسمبر 2020، تلقينا إخطاراً من مزود خدمة التجارة الإلكترونية لدينا، وهي شركة Shopify، بخصوص واقعة تتعلق ببيانات التجار حيث حصل عضو محتال (أعضاء محتالين) من فريق الدعم لديهم على سجلات معاملات العملاء، بما فيها سجلات Ledger. قام الوكيل (الوكلاء) بتصدير سجلات معاملات العملاء بشكل غير قانوني في شهري أبريل ويونيو 2020. وفقاً لشركة Shopify، يتعلق هذا بالواقعة المبلغ عنها في سبتمبر 2020، والتي تتعلق بأكثر من 200 تاجر، ولكن حتى 21 ديسمبر 2020، لم تكتشف Shopify أنه تم استهداف Ledger أيضاً في هذا الهجوم. أفادت Shopify أنهم استعانوا بخبراء ومستشارين في الأدلة الجنائية الرقمية لمواصلة تحقيقاتهم في هذه المسألة وأبلغوا السلطات القانونية في كل من كندا والولايات المتحدة الأمريكية بالأمر.

جنباً إلى جنب مع شركة Orange Cyberdefense للأدلة الجنائية، تمكنا من إثبات أن هذه الواقعة طالت ما يقرب من 292,000 عميلاً. في حين أن سجلات قاعدة البيانات تشبه بنسبة 93% تلك التي تم الكشف عنها في الهجوم السابق كان هناك ما يقرب من 20,000 سجل جديد للعملاء يحتوي على البريد الإلكتروني والاسم والعنوان البريدي والمنتج (المنتجات) التي تم طلبها ورقم الهاتف مدرجة في هذا الاختراق.

إذا كنت ممن قاموا بشراء منتج Ledger بعد نهاية يونيو 2020، أو إذا اشتريت منتجك من خارج Ledger.com، فلم يتم الكشف عن بياناتك في هذه الوقائع.

ما نوع البيانات التي تم اختراقها في قاعدة بيانات عملاء Ledger؟

في كلتا عمليتي الخرق، تتعلق المعلومات المكشوفة بقواعد بيانات التجارة الإلكترونية والتسويق. وتتضمن عناوين البريد الإلكتروني، والاسم الأول والأخير، وأرقام الهواتف، والعناوين البريدية، بالإضافة إلى نوع المنتج الذي تم شراؤه.

لا تتضمن معلومات بطاقة الائتمان.

نحن نعلم الآن أنه تم تسريب ما يقرب من مليون عنوان بريد إلكتروني إلى جانب ما يقرب من 292,000 سجلاً من سجلات المعلومات الشخصية مثل الاسم الأول والأخير ورقم الهاتف والعنوان البريدي والمنتجات المشتراة.

لماذا تم التواصل على 9.500 من التفاصيل الشخصية وليس 272.000؟

استند تحديد عدد التفاصيل الشخصية (الاسم والعنوان الفعلي ورقم الهاتف) الذي تم إجراؤه في يوليو 2020 إلى تحليل الأدلة الجنائية لشركة الاستشارات الأمنية التابعة لطرف ثالث والتي أفادت بوجود دليل على تأثر 9,500 شخص فقط. لقد تصرفنا بسرعة ووفقاً لأفضل ما توفر لدينا من معرفة في ذلك الوقت. يمكننا الآن التحقق من قاعدة البيانات المنشورة بأنه تم الحصول على المعلومات التفصيلية (الاسم والعنوان البريدي ورقم الهاتف) لحوالي 272,000 مستخدماً.

هل تم إصلاح خرق البيانات؟

بخصوص خرق البيانات الذي تم اكتشافه في يوليو: بمجرد اكتشافنا لخرق البيانات في يوليو، تم إصلاح خرق البيانات هذا في نفس اليوم، وتم إلغاء تنشيط مفتاح واجهة برمجة التطبيقات.

بخصوص خرق بيانات Shopify: منذ أن علمت بالواقعة، Shopify قامت على الفور بتعليق وصول هذا الشخص إلى الشبكة، وصادرت الكمبيوتر المحمول الخاص به، واستعانت بخبراء الأدلة الجنائية الرقمية والمستشارين لمواصلة تحقيقهم.

نحن نبذل قصارى جهدنا لجعل Ledger أقوى للمستقبل. وقمنا بتعيين رئيس جديد لموظفي أمن تكنولوجيا المعلومات (CISO). نحن نعمل على تقوية أنظمتنا القوية بالفعل. وأجرينا اختبارات الاختراق والتحليل الجنائي بالاشتراك مع شركات أمنية خارجية لاختبار أنظمتنا والعثور على أي نقاط ضعف إضافية بأنظمة التجارة الإلكترونية لدينا. 

نحن نعمل باستمرار مع الجهات القانونية لملاحقة المجرمين قضائياً. وقد أبلغنا هيئة حماية البيانات الفرنسية بشأن خرق البيانات، ونعمل مع هيئات حماية البيانات الأخرى في جميع أنحاء العالم.

هل تأثرت أموال العملاء؟

لا، لم تتأثر معلومات الدفع أو بيانات الاعتماد (كلمات المرور) أو الأموال المشفرة. لا يوجد ارتباط ولا تأثير لخرق البيانات هذا على محافظ أجهزتنا ولا على تطبيق Ledger Live. أصولك المشفرة آمنة وليست في خطر.

يمنع نموذج الأمان لدينا المهاجمين من الوصول إلى أي معلومات حساسة تتعلق بأجهزتنا مثل عبارات الاسترداد والمفاتيح الخاصة. يتحكم المستخدمون بالكامل في هذه المعلومات وهم الوحيدون القادرون على الوصول إليها.

ماذا عن "معلومات التعريف غير العامة" مثل أرقام الحسابات المصرفية وبيانات التأمين الاجتماعي؟

كما هو مذكور في سياسة الخصوصية الخاصة بنا، فإننا لا نطلب هذه المعلومات ولا نحتفظ بها أبداً.

هل يتم التعامل مع بيانات العميل داخل الشركة أم عن طريق بائع طرف ثالث؟

وفقاً لسياسة الخصوصية لدينا، بصفتنا متحكم بيانات، يجوز لنا نقل بعض بياناتك إلى أطراف ثالثة مثل البنية التحتية لمزودي خدمات الدفع (PSPs) والخدمات اللوجستية ومزودي الخدمات الأخرى، ضمن الأطر التعاقدية والقانونية المعمول بها. 

هل كانت هناك أي طلبات فدية؟

لقد علمنا ببعض طلبات الفدية. نعتقد أن هذه محاولة احتيال عالمية أخرى حيث يتم إرسال الرسالة نفسها عبر البريد الإلكتروني والرسائل النصية القصيرة بلغات مختلفة. نحن نراقب الحملة باستمرار على صفحة مخصَّصة.

ما التدابير العلاجية التي تتخذها Ledger لحل هذه المشكلة؟

  • لقد أصلحنا خرق البيانات على الفور
  • لقد حققنا في خرق البيانات على الفور، داخلياً وبالاستعانة بخبراء خارجيين في الأدلة الجنائية (Orange Cyber Defense) لاكتشاف أي عملية وصول غير مصرح بها إلى بيانات عملائنا من طرف ثالث
  • أبلغنا هيئة حماية البيانات الفرنسية عن خرق البيانات وقمنا بإطلاعهم على الموقف.
  • لقد أبلغنا عملائنا.
  • قمنا بتقديم شكوى جنائية رسمية إلى المدعي العام الفرنسي ونقوم بتحديثها بما يتوفر لدينا من معلومات جديدة.
  • أجرينا اختبارات الاختراق داخلياً ونعمل على دفع اختبار الاختراق الخارجي الذي كان مخططاً له في الأصل في سبتمبر 2020.
  • لدينا عمليات تدقيق داخلية دورية مخطط لها في سياسات الاحتفاظ بالبيانات لدينا لضمان استمرار الامتثال للقوانين المعمول بها.
  • نقوم بتوسيع نطاق برنامجنا الأمني والتنظيمي ليشمل التجارة الإلكترونية، والذي كان في الأصل يقوم بالتركيز على منتجاتنا (محافظ الأجهزة و Vault). نحن نتخذ خطوات لتلبية المتطلبات المدرجة في ISO 27001.

هل يمكن للمعلومات التي حصل عليها المخترقون أن تتجاوز إجراءات التحقّق بخطوتين (2FA)؟

لا. لا يحتفظ موقعنا للتجارة الإلكترونية بأي بيانات تسجيل دخول/كلمة مرور لأن إجراء التحقّق بخطوتين (2FA) لا يرتبط بنظام الأمان لدينا. 

هل أبلغ أي عميل من العملاء عن تعرضه لابتزاز جسدي؟

ليس على حد علمنا. لا في الآونة الأخيرة ولا في الماضي، ولكن تنطوي بعض عمليات الاحتيال على تهديد بالعنف الجسدي. إذا تلقيت تهديد كهذا، يُرجى الاتصال بهيئات إنفاذ القانون المحلية على الفور. يمكنك أيضاً إبلاغنا بالتهديد على هذه الصفحة لتضمينه في تحقيقنا. يُرجى العلم أن Ledger صممت آخذة بالاعتبار الهجوم الجسدي، راجع أفضل الممارسات للحصول على تدابير الأمان المتقدمة لمعرفة التعليمات حول كيفية حماية نفسك والبقاء حذراً. مع العلم أننا نراقب الحملة باستمرار على صفحة مخصَّصة.

نوصي عملائنا القلقين بشأن هذا الاحتمال بالرجوع إلى أفضل الممارسات لدينا لتدابير الأمان المتقدمة وأن يضعوا في الاعتبار أنه في حالة وجود حالة طوارئ فإن ادخال كود PIN بطريقة خاطئة 3 مرات سيؤدي إلى إعادة تعيين جهازك.

لماذا انتظرت Ledger أكثر من أسبوع للتواصل علناً بشأن خرق بيانات التسويق والتجارة الإلكترونية هذا؟

أردنا الحصول على جميع البيانات اللازمة وكنا بحاجة إلى تنفيذ الامتثال القانوني أولاً.

لقد أصلحنا المشكلة على الفور وشرعنا في إجراء تحقيق داخلي لتقييم نطاق الانتهاك. قمنا كذلك بإجراء تحقيق بالتعاون مع Orange Cyberdefense لتقييم مدى الاختراق، وتلقينا تقرير OCD الأولي في 24 يوليو.

لقد أبلغنا بخرق البيانات هذا إلى هيئة حماية البيانات الفرنسية، CNIL، وفقاً للقوانين المعمول بها.

هل تمتثل Ledger لللائحة العامة لحماية البيانات (GDPR)؟

إن هدف Ledger يتجاوز مجرد الامتثال للائحة العامة لحماية البيانات (GDPR) ولوائح حماية البيانات الأخرى.  في غضون 3 أيام من اكتشاف عمليات خرق البيانات، أبلغت Ledger هيئة حماية البيانات الفرنسية بالمعلومات وتم تزويدها بآخر المستجدات فور توفرها. تعمل Ledger أيضاً وتتواصل بشكل مفتوح مع سلطات حماية البيانات الأخرى. 

تتم أيضاً تعبئة فريق الخصوصية في Ledger للرد والتعامل مع أي استفسارات متعلقة بالخصوصية قد يرسلها العملاء إلينا. إذا كان لديك طلباً محدداً بخصوص بياناتك (الوصول إليها، مسحها...)، يُرجى إرسال بريد إلكتروني إلينا على privacy@ledger.fr.

نهدف إلى حذف بياناتك الشخصية تماماً، مثل الاسم والعنوان ورقم الهاتف في أسرع وقت ممكن. لتحقيق أكثر من تلك المتطلبات التي تفرضها اللائحة العامة لحماية البيانات (GDPR)، نتحدى أنفسنا ومزودين الطرف الثالث للاحتفاظ بهذه البيانات لأقصر فترة من الوقت ممكنة حسب ما تقتضيه ضرورة الوفاء بالتزاماتنا تجاه عملائنا (مثل الوفاء بطلبك) والقانون (مثل الالتزامات المحاسبية والقانونية). سيتم وضع البيانات التي يلزم الاحتفاظ بها في بيئة منفصلة أخرى. على سبيل المثال، نهدف إلى وضع معلومات طلبكم عبر بوابة التجارة الإلكترونية مثل الاسم والعنوان ورقم الهاتف في بيئة منفصلة لمدة ثلاثة أشهر من شحن منتجك.

ما الذي يمكنني فعله لحماية بياناتي من الآن فصاعداً؟

احذر من محاولات اصطياد المعلومات التي قد تنتحل صفة Ledger لطلب عبارة الاسترداد الخاصة بك. لن تطلب منك Ledger أبداً الـ24 كلمة المكونة لعبارة الاسترداد الخاصة بك، ولا حتى في Ledger Live، ولن تتواصل معك Ledger أبداً من خلال الرسائل النصية أو المكالمات الهاتفية.

إذا كنت ترغب في تحسين أمان عبارة الاسترداد الخاصة بك، فإننا نوصيك بالرجوع إلى أفضل الممارسات لدينا لتدابير الأمان المتقدمة، وأن تضع في اعتبارك أنه في حالة وجود حالة طوارئ فإن كتابة كود PIN بطريقة خاطئة 3 مرات سيؤدي إلى إعادة تعيين جهازك.

ما هي تدابير الأمان المعمول بها لحماية معلوماتنا الشخصية؟

لضمان سلامة بياناتك الشخصية وسريتها، نقوم بتنفيذ الإجراءات المادية والإلكترونية والتنظيمية المناسبة لحماية البيانات الشخصية وتأمينها على مستوى جميع خدماتنا.
تتوفر المزيد من التفاصيل في سياسة الخصوصية لدينا حول تدابير الأمان التي يتم تطبيقها.
نحن ننفّذ على وجه الخصوص تدابير الأمان التالية، من بين تدابير أخرى:

  • أمان بيانات الدفع: إذا زودتنا بمعلومات بطاقة الائتمان، يتم تشفير هذه المعلومات باستخدام بروتوكول التجارة عبر الإنترنت (TLS) آمن وإرسالها مباشرةً إلى مزود خدمة الدفع (PSP). لا يتم تخزين هذه المعلومات على خادمنا أبداً.
  • برنامج التوعية وتدريب الموظفين
  • تشفير البيانات أثناء النقل وأثناء السكون
  • التدقيق في مراكز البيانات بشكل روتيني
  • تكرار البيانات بهدف تحقيق المرونة في حالة الكوارث
  • المصادقة على أساس الدور
  • التحقّق بخطوتين لموظفينا المعتمدين
  • المراقبة المستمرة للنظام
  • تقييمات الأمان المتوافقة مع معايير الصناعة
  • اختبارات الاختراق ومراجعات الأمان المستقلة من قِبل الطرف الثالث
  • تعيين رئيس جديد لموظفي أمن تكنولوجيا المعلومات (CISO)
  • حذف أكثر من 200 موقع لاصطياد المعلومات منذ حدوث الاختراق الأصلي

هل أنتم متأكدون من عدم وجود مشكلة أخرى مماثلة في موقع التجارة الإلكترونية لديكم؟ وهل تستخدمون واجهات برمجة تطبيقات أخرى (API)؟

لقد أجرينا تدقيقاً داخلياً ولم نعثر على أي مشكلة أخرى. ومع ذلك، فإننا مستمرون في عملية التقييم بانتظام لمزيد من الاطمئنان. نقوم بانتظام بإجراء اختبار (اختبارات) الاختراق الخارجي ونشجع الباحثين الآخرين في مجال أمن تكنولوجيا المعلومات على التواصل معنا عبر برنامج المكافآت لصيد الثغرات الأمنية (Bug Bounty).

كيف يمكنكم التأكد من أن خرق بيانات Shopify المزعوم الذي تم الكشف عنه في مايو كان عبارة عن خدعة؟

تمكنا من الوصول إلى عينة من قاعدة البيانات المزعومة المسربة ووجدنا أنها لا تتطابق مع قاعدة البيانات لدينا. 

كيف أثر خرق البيانات على طلبات أمازون، وبشكل أكثر تحديداً، عناوين الفواتير/الشحن؟

لم تتأثر أي معلومات من طلبات Amazon بخرق البيانات (بما في ذلك البريد الإلكتروني والفواتير وعناوين الشحن من الطلبات).

هل أنتم على علم بهجمات التصيد التي تعرض لها عملائكم؟

نعم، ونحن نراقب الحملة باستمرار على صفحة مخصَّصة. تعتبر حملات اصطياد المعلومات من الأمور القياسية جداً في هذه الصناعة، ولهذا السبب أنشأنا أكاديمية ليدجر (Ledger Academy) لتثقيف مستخدمينا. نقوم بحملات منتظمة لتذكير مستخدمينا بمخاطر هجمات التصيد، وتوخي الحذر دائماً. قمنا بتوظيف فريق حماية العلامة التجارية بالشركة منذ عامين لمراقبة وصد هذا المحتوى المسيء. 

هل حددتم من قام باختراق قاعدة بياناتكم؟ هل يوجد لديكم أي دليل؟

لا، لقد قدَّمنا شكوى جنائية إلى المدعي العام الفرنسي بناءً على الأدلة الأولية التي كشف عنها تقرير التحقيق الجنائي المستقل لشركة Orange Cyberdéfense، والذي نعمل على تحديثه باستمرار. التحقيق جاري.

هل تقومون بمراجعة بياناتي في Ledger Live مع بيانات أخرى؟ (محافظ الأجهزة والتجارة الإلكترونية)

لا، لا نفعل ذلك. 

هل تشاركون البيانات مع الحكومات؟

لا تشارك Ledger معلومات العميل ما لم يُطلب منها ذلك بموجب القوانين المعمول بها على النحو الموضح في سياسة الخصوصية لدينا.

لماذا لا تقومون بتطهير قاعدة بياناتكم؟ 

لأسباب قانونية، نحن ملزمون بحفظ بعض معلومات المعاملات المتعلقة بتفاصيل الاتصال بعملائنا وبيانات طلباتهم.

وفقاً لمبدأ تقادم تخزين البيانات المنصوص عليه في القوانين المعمول بها، نسعى للاحتفاظ بالبيانات لمدة لا تزيد عن الوقت المطلوب للامتثال لهذه الأغراض المشروعة والقانونية، بما في ذلك تلبية أي متطلبات قانونية أو محاسبية أو ضريبية أو غيرها من متطلبات تقارير الامتثال.

قد نقوم بأرشفة بعض بياناتك الشخصية، مع تقييد الوصول إليها، لفترة إضافية من الزمن عندما يكون ضرورياً للغاية لنا الامتثال لالتزامات الأرشفة القانونية و/أو التنظيمية وقانون فترات التقادم المعمول به. في نهاية هذه الفترة الإضافية، ستتم إزالة بياناتك الشخصية المتبقية بشكل دائم أو إخفاء هويتها من أنظمتنا.

إذا اشتريت منتجاً أو حصلت على خدمة منا، فقد نحتفظ ببعض بيانات المعاملات المرتبطة ببيانات الاتصال الخاصة بك من أجل الامتثال لالتزاماتنا القانونية أو الضريبية أو المحاسبية لمدة أقصاها 10 سنوات المنصوص عليها في القوانين الفرنسية المعمول بها، وكذلك من أجل السماح لنا بإدارة حقوقنا (على سبيل المثال لتأكيد مطالباتنا في المحاكم) أثناء فترات قوانين التقادم الفرنسية المعمول بها.

نحتاج أيضاً إلى الاحتفاظ ببعض بياناتك الشخصية المتضمنة في قاعدة البيانات هذه، حتى نتمكن من الإجابة على أسئلتك، ومعالجة المطالبات المحتملة، والاحتفاظ بالأدلة لأجل التحقيق الجنائي.

بعد خرق Shopify، نقوم بتغيير الطريقة التي نتعامل بها مع هذه البيانات، لتحقيق ما هو أكثر من مبادئ اللائحة العامة لحماية البيانات (GDPR) واتباع أفضل نهج من نوعه:

  1. هدفنا هو حذف بياناتك الشخصية تماماً مثل الاسم والعنوان ورقم الهاتف في أسرع وقت ممكن. نحن نتحدى أنفسنا ومزودين الطرف الثالث للاحتفاظ بهذه البيانات لفترة قصيرة من الوقت حسب ما تقتضيه ضرورة الوفاء بالتزاماتنا تجاه عملائنا (مثل الوفاء بطلبك) والقانون (مثل الالتزامات المحاسبية والقانونية). سيتم وضع البيانات التي يلزم الاحتفاظ بها في بيئة منفصلة أخرى. على سبيل المثال، نهدف إلى وضع معلومات طلبكم عبر بوابة التجارة الإلكترونية مثل الاسم والعنوان ورقم الهاتف في بيئة منفصلة لمدة ثلاثة أشهر من شحن منتجك.
  2. سنقوم بتقليل الأماكن التي يتم فيها عرض معلوماتك الشخصية إلى الحد الأدنى. على سبيل المثال، سنقوم بحذف الاسم والعنوان ورقم الهاتف من رسائل البريد الإلكتروني الخاصة بتأكيد الطلب التي نرسلها إليك حتى لا تمر هذه البيانات عبر مزود خدمة البريد الإلكتروني للتجارة الإلكترونية الخاص بنا.
  3. سنقوم بتنفيذ نموذج مراسلة حيث سيتم نقل المعلومات المهمة الأمنية والتقنية الاستباقية من خلال Ledger Live. ولن يتم استخدام البريد الإلكتروني ووسائل التواصل الاجتماعي إلا لنشر رسائل المنتجات وإعلاناتها.
  4. سنقوم بإجراء إعادة تقييم مفصل لجميع موردينا وشركائنا لضمان استمرارهم في تلبية أعلى المعايير.

هل يتم تخزين الـ24 كلمة في قاعدة البيانات؟

لا، يتحكم عملاؤنا بشكل كامل وحصري في عبارة الاسترداد الخاصة بهم. لن تطلب Ledger أبداً عبارة الاسترداد الخاصة بك. 

إذا لم تكونوا قادرين على حماية بيانات التجارة الإلكترونية الخاصة بنا، فكيف يمكنكم حماية وتأمين أموالنا؟

هذا السؤال هو الأكثر دقة ومشروعية من بين الأسئلة التي نتلقاها من عملائنا. في الواقع، منذ تأسيس Ledger، ركزنا على أمان منتجاتنا لأننا نعلم حاجة هذه الصناعة إلى حلول أمنية قوية خاضعة للمراقبة الكاملة وقابلة للتدقيق للانطلاق بها ونحن ملتزمون بتوفير لعملائنا منتجات أمان نقوم بمتابعتها بأفضل معرفة في هذا المجال.

جاء خرق البيانات هذا من مفتاح واجهة برمجة تطبيقات لطرف ثالث تم تكوينه بشكل خاطئ ومستضاف على صفحة الويب الخاصة بالتجارة الإلكترونية لدينا. لا علاقة له بمنتجات الأمان لدينا والبنى التحتية الخاصة بها. هذا لا يعني أن هذا الوضع ليس خطيراً. بل يعني أنه لا يتعلق بمستوى أمان منتجاتنا.

نحن في غاية الأسف لهذا الحادث. نحن نأخذ الخصوصية على محمل الجدّ، ولقد اكتشفنا هذه المشكلة بفضل "برنامج المكافآت لصيد الثغرات الأمنية (Bug Bounty)" الخاص بنا، وقمنا بإصلاحها على الفور. ولكن بغض النظر عن كل ما فعلناه لتجنب هذا الموقف وإصلاحه، فإننا نعتذر بصدق عن أي إزعاج قد تسبب فيه هذا الأمر لعملائنا.

هذا الموقف يسبب لي التوتر الشديد، ما الذي يفترض أن يطمئنني؟

نتفهم مخاوفك ونأسف بشدة لهذا الحادث. تعد عمليات خرق البيانات وهجمات التصيد مشكلة قائمة على مستوى الصناعة. نواصل العمل على حل هذه المشكلة كل يوم، حيث نأخذ الخصوصية وأمن البيانات على محمل الجدّ. بمجرد أن اكتشفنا هذه المشكلة بفضل برنامج المكافآت لصيد الثغرات الأمنية (Bug Bounty) الخاص بنا، قمنا بإصلاحها على الفور وحرصنا على إعلامك. ولكن بغض النظر عن كل شيء فعلناه لتجنب هذا الموقف وإصلاحه، فإننا نعتذر بصدق عن أي إزعاج قد يسببه لك هذا الأمر. ومع ذلك، فإن خرق البيانات هذا لا يرتبط ولا يؤثر على محافظ أجهزتنا أو أمان Ledger Live.

Crypto Casey تقوم بعمل رائع في تلخيص الموقف وكيفية حماية نفسك في هذا الفيديو والبودكاست.  يُرجى اتخاذ جميع الخطوات للحفاظ على نفسك وأصولك المشفرة بأمان. 

أصولك المشفرة آمنة ولم تتعرض للخطر قط. نحن ممتنون للثقة التي وضعتها في منتجاتنا. وفي قابل الأيام، يمكنك توقع من خدماتنا أعلى مستوى من الاحتراف والشفافية والاستجابة.

هل تعرفون خدمة مراقبة "انتحال الشخصية" أو توفرونها أو توصون بها؟

لا، لا نوصي باستخدام مثل هذه الخدمة. بدلاً من ذلك، نوصي عملائنا بتطبيق التدابير الاحترازية والحذر من محاولات اصطياد المعلومات التي قد تنتحل صفة Ledger لطلب عبارة الاسترداد الخاصة بك. لن تطلب منك Ledger أبداً الـ24 كلمة المكونة لعبارة الاسترداد الخاصة بك، ولا حتى في Ledger Live، ولن تتواصل معك Ledger أبداً من خلال الرسائل النصية أو المكالمات الهاتفية.

إذا كنت ترغب في تحسين أمان عبارة الاسترداد الخاصة بك، فإننا نوصيك بالرجوع إلى أفضل الممارسات لدينا لتدابير الأمان المتقدمة، وأن تضع في اعتبارك أنه في حالة وجود حالة طوارئ فإن كتابة كود PIN بطريقة خاطئة 3 مرات سيؤدي إلى إعادة تعيين جهازك.

ماذا تفعلون لمنع حدوث خرق البيانات من الحدوث مرة أخرى؟

لقد شكلت انتهاكات البيانات هذه تحدياً كبيراً لنا. ثقتكم تساوي بالنسبة لنا أكثر بكثير من بياناتكم. لهذا السبب قررنا في Ledger تغيير الطريقة التي نتعامل بها مع البيانات تماماً، ونحن بصدد تغيير الطريقة التي نتعامل بها مع هذه البيانات، لتحقيق ما هو أكثر من مبادئ اللائحة العامة لحماية البيانات (GDPR) واتباع أفضل نهج من نوعه:

  • هدفنا هو حذف بياناتك الشخصية تماماً مثل الاسم والعنوان ورقم الهاتف في أسرع وقت ممكن. نحن نتحدى أنفسنا ومزودين الطرف الثالث للاحتفاظ بهذه البيانات لفترة قصيرة من الوقت حسب ما تقتضيه ضرورة الوفاء بالتزاماتنا تجاه عملائنا (مثل الوفاء بطلبك) والقانون (مثل الالتزامات المحاسبية والقانونية). سيتم وضع البيانات التي يلزم الاحتفاظ بها في بيئة منفصلة أخرى. على سبيل المثال، نهدف إلى وضع معلومات طلبكم عبر بوابة التجارة الإلكترونية مثل الاسم والعنوان ورقم الهاتف في بيئة منفصلة لمدة ثلاثة أشهر من شحن منتجك.
  • سنقوم بتقليل الأماكن التي يتم فيها عرض معلوماتك الشخصية إلى الحد الأدنى. على سبيل المثال، سنقوم بحذف الاسم والعنوان ورقم الهاتف من رسائل البريد الإلكتروني الخاصة بتأكيد الطلب التي نرسلها إليك حتى لا تمر هذه البيانات عبر مزود خدمة البريد الإلكتروني للتجارة الإلكترونية الخاص بنا.
  • سنقوم بتنفيذ نموذج مراسلة حيث سيتم نقل المعلومات المهمة الأمنية والتقنية الاستباقية من خلال Ledger Live. ولن يتم استخدام البريد الإلكتروني ووسائل التواصل الاجتماعي إلا لنشر رسائل المنتجات وإعلاناتها.
  • سنقوم بإجراء إعادة تقييم مفصلة لجميع موردينا وشركائنا لضمان استمرارهم في تلبية أعلى المعايير.

لا يمكن السماح لمثل هذه السرقات والهجمات بالمرور دون تحقيق أو ملاحقة قضائية.  وحتى تزدهر العملة المشفرة، هناك ثمن يجب دفعه مقابل ارتكاب عملية سرقة للعملات المشفرة.  نحن نواصل العمل مع جهات إنفاذ القانون وكذلك المحققين الخصوصيين في هذه القضايا، ومستمرين في إضافة المزيد من أسباب القوة:

  • نقوم بتوظيف قدرات تحقيق خاصة إضافية، مع إضافة الخبرة والأساليب للعثور على الأشخاص المسؤولين عن سرقات البيانات هذه.  سنواصل العمل بالتنسيق مع سلطات إنفاذ القانون العالمية للعثور على المسؤولين عن هذا وإلقاء القبض عليهم ومقاضاتهم حيثما كان ذلك ممكناً.
  • لقد خصصنا مكافأة (bounty) لمن يقدم معلومات جديدة، تم الحصول عليها بشكل قانوني، وهو ما يؤدي إلى تحديد واعتقال أولئك المسؤولين عن الهجمات ضد Ledger وعملائنا ومقاضاتهم بنجاح.  لقد قامت شركة Ledger بتخصيص محفظة قيمتها 10 BTC (العنوان: bc1qshfl9cnyjam64m3c2jpsg23u34z7w0kkwncdsd) كاحتياطي للمكافأة (bounty) الأولى. سيتم صرفها وفقاً لتقدير شركة Ledger وسينظر في عوامل مثل - هل تم الحصول على المعلومات بشكل قانوني؟ هل هي جديدة؟ ما مدى أهمية المعلومات وإلى أي مدى ستساعد في تقدم التحقيق وهل ستؤدي إلى التمكين من مقاضاة الفرد (الأفراد) مباشرةً؟ هل نجحت تلك المقاضاة؟ بوجه عام، سيتم إخضاعها لشروط برنامج المكافآت لدينا المتاحة هنا.
  • نعلن عزمنا على التعاون مع أطراف أخرى في الصناعة في هذه المبادرة.  ونحن نتواصل مع شركات وأفراد آخرين في المجال حول تمويل مستمر لبرنامج المكافآت هذا لمجابهة الجرائم المرتكبة ضد مجتمع الأصول المشفرة.  بالنسبة للرؤساء التنفيذيون للشركات الأخرى في مجال الأصول المشفرة، إذا كنتم ترغبون في الانضمام إلينا في هذا المشروع، فيُرجى الاتصال بنا في أسرع وقت ممكن.
خرق بيانات التجارة الإلكترونية والتسويق - الأسئلة الشائعة

هل كان هذا المقال مفيداً؟