Hüten Sie sich vor Phishing-Angriffen, Ledger wird niemals nach den 24 Wörtern Ihrer Wiederherstellungsphrase fragen. Teilen Sie diese nie mit anderen. Weitere Informationen

(ENG/FR/SPA/GER) E-Commerce- und Marketing-Datenpanne – FAQ

English Français Espanol Deutsch

E-Commerce- und Marketing-Datenpanne – FAQ

Am 14. Juli kontaktierte uns ein Forscher über unser Belohnungsprogramm, um uns über eine Datenpanne in unserer E-Commerce- und Marketing-Datenbank zu informieren. Wir haben die Datenpanne umgehend behoben und interne Untersuchungen eingeleitet. Wir haben festgestellt, dass die offengelegten Daten einem unbefugten Zugriff unterliegen. Ihr Geld ist sicher.

Am 20. Dezember wurden wir über den Speicherauszug des Inhalts einer Ledger-Kundendatenbank informiert. Die Untersuchungen dauern noch an, aber erste Anzeichen deuten darauf hin, dass es sich tatsächlich um den Inhalt unserer zuvor angegriffenen E-Commerce-Datenbank handeln könnte.

Am 23. Dezember wurden wir von Shopify, unserem E-Commerce-Dienstleister, über einen Vorfall mit Händlerdaten informiert, bei dem betrügerische Mitglieder ihres Supportteams Kundentransaktionsaufzeichnungen, einschließlich denen von Ledger, erhalten haben.

Antworten auf häufig gestellte Fragen finden Sie unten. Details zur Datenpanne finden Sie in unserem Blogpost. Informationen zum Shopify-Vorfall finden Sie in diesem Artikel.

Sind meine persönlichen Daten (Name, Adresse, Telefonnummer) kompromittiert?

Nachdem wir den Verstoß im Juli entdeckt haben, haben wir eine E-Mail an alle 9500 betroffenen Kunden gesendet, für die wir anhand der Protokolle feststellen konnten, dass persönliche Daten geleakt wurden. Wenn Sie diese E-Mail  zu diesem Zeitpunkt nicht erhalten haben, hatten wir keine Beweise dafür, dass Ihre persönlichen Daten außer Ihrer E-Mail-Adresse geleakt wurden.

Nachdem wir auf den Speicherauszug vom 20. Dezember aufmerksam gemacht worden waren, wurde klar, dass die persönlichen Daten einer größeren Untergruppe als den ursprünglichen 9500 Kunden offengelegt wurden. Wir haben eine E-Mail an alle Kunden in dieser Untergruppe gesendet (etwa 272.000 Personen).Wenn Sie Teil dieser Untergruppe, deren persönliche Informationen geleakt wurden, waren, haben Sie am 21. Dezember 2020 eine spezielle E-Mail erhalten, in der Sie darüber benachrichtigt wurden.

Am 13. Januar haben wir die rund 292.000 Kunden, die von der Shopify-Verletzung betroffen waren, kontaktiert.Wenn Ihre Daten durch diese Shopify-Datenpanne kompromittiert wurden, wurden Sie per E-Mail benachrichtigt. Der Titel der E-Mail lautete „SICHERHEITSHINWEIS: Ledger von Shopify-Datenpanne betroffen“ und wurde am 13. Januar 2021 gegen 16:00 Uhr (MEZ) gesendet.

Was ist bei der im Juli 2020 gemeldeten Datenpanne passiert?

Ein Angreifer erhielt Zugriff auf einen Teil unserer E-Commerce- und Marketingdatenbank über den auf unserer Website falsch konfigurierten API-Schlüssel eines Drittanbieters, der den unbefugten Zugriff auf die Kontaktdaten und Bestelldaten unserer Kunden ermöglichte.

Wer ist die Drittanbieterlösung? Warum verarbeiteten sie Kundendaten?

Die E-Commerce- und Marketingteams von Ledger verwenden eine Drittanbieterlösung (Iterable), um Transaktions- und Marketing-E-Mails an Kunden, die Produkte auf ledger.com gekauft oder sich für den Empfang unserer Newsletter angemeldet haben, zu senden und zu analysieren.

Seit wann besteht dieses Problem?

Die fragliche Fehlkonfiguration des API-Schlüssels eines Drittanbieters wird seit dem 9. August 2018 ausgeführt. Basierend auf den uns vorliegenden Beweisen und Protokollen glauben wir, dass er vom April 2020 bis zum 28. Juni 2020 entdeckt und genutzt wurde. 

Was ist mit Shopify passiert?

Am 23. Dezember 2020 erhielten wir von unserem E-Commerce-Dienstleister Shopify eine Benachrichtigung über einen Vorfall mit Händlerdaten, bei dem betrügerische Mitglieder ihres Support-Teams Kundentransaktionsdokumente erhalten haben, einschließlich denen von Ledger. Die Agenten haben im April und Juni 2020 illegal Kundentransaktionsaufzeichnungen exportiert. Laut Shopify hängt dies mit dem Vorfall zusammen, der im September 2020 gemeldet wurde und mehr als 200 Händler betraf. Bis zum 21. Dezember 2020 hatte Shopify jedoch nicht festgestellt, dass Ledger ebenfalls von diesem Angriff betroffen war. Shopify teilt uns mit, dass sie Experten und Anwälte für digitale Forensik beauftragt haben, ihre Ermittlungen in dieser Angelegenheit fortzusetzen, und die Angelegenheit den Strafverfolgungsbehörden in Kanada und den USA gemeldet haben.

Zusammen mit dem Forensikunternehmen Orange Cyberdefense konnten wir feststellen, dass es rund 292.000 Kunden betrifft. Bei der Datenbank handelt es sich zu 93 % um die gleiche Datenbank, die bei dem vorangegangenen Angriff offengelegt wurde. Es wurden jedoch ca. 20.000 neue Kundendatensätze einschließlich E-Mail-Adresse, Name, Postanschrift, bestellte(s) Produkt(e) und Telefonnummer bei diesem Angriff erfasst.

Wenn Sie ein Ledger-Produkt nach Ende Juni 2020 gekauft haben oder wenn Sie Ihr Produkt außerhalb von Ledger.com gekauft haben, wurden Ihre Daten bei diesen Vorfällen nicht offengelegt.

Welche Art von Daten aus der Kundendatenbank von Ledger wurde kompromittiert?

Bei beiden Verstößen beziehen sich die offengelegten Informationen auf E-Commerce- und Marketingdatenbanken. Sie enthalten E-Mail-Adressen, Vor- und Nachnamen, Telefonnummern und Postanschriften sowie die Art des gekauften Produkts.

Sie enthalten keine Kreditkarteninformationen.

Wir wissen jetzt, dass ungefähr eine Million E-Mail-Adressen zusammen mit ungefähr 292.000 persönlichen Informationsdatensätzen wie Vor- und Nachnamen, Telefonnummern, Postanschriften und gekauften Produkten geleakt wurden.

Warum haben Sie 9.500 Personen bezüglich ihrer persönlichen Daten kontaktiert und nicht 272.000?

Die Ermittlung der Anzahl der persönlichen Daten (Namen, Anschriften, Telefonnummern), die im Juli 2020 vorgenommen wurde, basierte auf der forensischen Analyse unserer externen Sicherheitsberatung, die darauf hingewiesen hat, dass nur 9.500 betroffene Personen nachgewiesen wurden. Wir haben schnell und mit dem besten Wissen gehandelt, das uns damals zur Verfügung stand. Aus der veröffentlichten Datenbank können wir nun nachweisen, dass detaillierte Informationen (Namen, Postanschriften, Telefonnummern) von etwa 272.000 Benutzern erlangt wurden.

Wurde die Datenpanne behoben?

In Bezug auf die im Juli festgestellte Datenpanne: Sobald wir die Datenpanne im Juli entdeckten, wurde sie am selben Tag behoben und der API-Schlüssel deaktiviert.

In Bezug auf die Shopify-Datenpanne: Seit Shopify Kenntnis von dem Vorfall erlangt hat, hat es den Netzwerkzugriff der Person sofort gesperrt, den Laptop der Person beschlagnahmt und Experten und Berater für digitale Forensik beauftragt, ihre Ermittlungen fortzusetzen.

Wir tun alles, was uns möglich ist, um Ledger für die Zukunft zu stärken. Wir haben einen neuen Chief Information Security Officer (CISO) eingestellt. Wir verstärken unsere bereits starken Systeme weiter. Wir haben Pentesting und forensische Analysen mit externen Sicherheitsfirmen durchgeführt, um sie zu testen und zusätzliche Schwachstellen in unseren E-Commerce-Systemen zu finden. 

Wir arbeiten kontinuierlich mit den Strafverfolgungsbehörden zusammen, um Kriminelle strafrechtlich zu verfolgen. Wir haben die französische Datenschutzbehörde über die Datenpannen informiert und arbeiten mit anderen Datenschutzbehörden auf der ganzen Welt zusammen.

Sind Kundengelder betroffen?

Nein. Zahlungsinformationen, Anmeldeinformationen (Passwörter) oder Kryptoguthaben waren nicht betroffen. Diese Datenpanne hat keine Auswirkungen auf unsere Hardware-Wallet und die Ledger-Live-Anwendung. Ihre Krypto-Assets sind sicher und nicht in Gefahr.

Unser Sicherheitsmodell verhindert, dass Angreifer auf vertrauliche Informationen zu unseren Hardwaregeräten wie Wiederherstellungsphrasen und private Schlüssel zugreifen können. Benutzer haben die vollständige Kontrolle und sind die einzigen, die auf diese Informationen zugreifen können.

Was ist mit „nicht öffentlichen Identifikationsinformationen“ wie Bankkontonummern und Sozialversicherungsdaten?

Wie in unserer Datenschutzrichtlinie angegeben, fordern wir diese Informationen niemals an und speichern sie nicht.

Werden Kundendaten intern oder von einem Drittanbieter verarbeitet?

In Übereinstimmung mit unserer Datenschutzrichtlinie können wir als Datenverantwortlicher einige Ihrer Daten innerhalb der geltenden vertraglichen und rechtlichen Rahmenbedingungen an Dritte wie die Infrastruktur von Payment-Service-Providern (PSPs), die Logistik und andere Dienstleister im Rahmen der geltenden vertraglichen und rechtlichen Rahmenbedingungen übertragen. 

Gab es Lösegeldforderungen?

Wir wurden auf einige Lösegeldforderungen aufmerksam gemacht. Wir glauben, dass dies ein weiterer globaler Betrugsversuch ist, da dieselbe Nachricht per E-Mail und SMS in verschiedenen Sprachen gesendet wurde. Wir überwachen die Kampagne kontinuierlich auf einerspeziellen Seite.

Welche Abhilfemaßnahmen ergreift Ledger, um dieses Problem zu beheben?

  • Wir haben die Datenpanne sofort behoben.
  • Wir haben die Datenpanne sowohl intern als auch mit externen forensischen Experten (Orange Cyberdefense) sofort untersucht, um festzustellen, ob Dritte nicht autorisierten Zugriff auf unsere Kundendaten haben.
  • Wir haben die französische Datenschutzbehörde über die Datenpanne in Kenntnis gesetzt und sie über die Situation informiert.
  • Wir haben unsere Kunden informiert.
  • Wir haben eine formelle Strafanzeige beim französischen Staatsanwalt eingereicht und aktualisieren diese mit neuen Informationen.
  • Wir haben intern Pentesting durchgeführt und treiben das ursprünglich für September 2020 geplante externen Pentesting voran.
  • Wir haben regelmäßige interne Audits für unsere Richtlinien zur Vorratsdatenspeicherung geplant, um sicherzustellen, dass die geltenden Gesetze weiterhin eingehalten werden.
  • Wir erweitern den Umfang unseres Sicherheits- und Organisationsprogramms auf den E-Commerce und konzentrieren uns ursprünglich auf unsere Produkte (HW & Vault). Wir unternehmen Schritte, um die in ISO 27001 aufgeführten Anforderungen zu erfüllen.

Können die von den Hackern erhaltenen Informationen die 2FA-Maßnahmen (Zwei-Faktor-Authentisierung) umgehen?

Nein. Auf unserer E-Commerce-Website werden keine Anmelde-/Kennwortinformationen gespeichert, da 2FA für unser Sicherheitsschema nicht relevant ist. 

Melden Kunden physische Erpressung?

Nach unserem Wissen nicht. Weder in jüngster Zeit noch in der Vergangenheit haben wir von solchen Fällen erfahren, aber einige der Betrugsmaschen beinhalten die Androhung von körperlicher Gewalt. Wenn Sie eine solche Bedrohung erhalten, wenden Sie sich bitte umgehend an die örtlichen Strafverfolgungsbehörden. Sie können uns die Bedrohung auch auf dieser Seite melden, damit wir sie in unsere Untersuchung einbeziehen. Bitte beachten Sie, dass Ledger unter Berücksichtigung der möglichen Gefahr durch physische Angriffe entwickelt wurde. Anweisungen zum Schutz Ihrer Person und zur Wachsamkeit finden Sie in den Best Practices für erweiterte Sicherheitsmaßnahmen. Wir überwachen die Kampagne kontinuierlich auf einerspeziellen Seite.

Wir empfehlen unseren Kunden, die sich über diese Möglichkeit Sorgen machen, unsere Best Practices für erweiterte Sicherheitsmaßnahmen zu konsultieren und zu berücksichtigen, dass im Notfall durch dreimaliges Eingeben des falschen PIN-Codes Ihr Gerät zurückgesetzt wird.

Warum hat Ledger mehr als eine Woche gewartet, um öffentlich über diese Marketing- und E-Commerce-Datenpanne zu kommunizieren?

Wir wollten alle notwendigen Daten haben und mussten zuerst die gesetzlichen Bestimmungen einhalten.

Wir haben das Problem sofort behoben und eine interne Untersuchung eingeleitet, um den Umfang des Verstoßes zu bewerten. Wir haben auch mit Orange Cyberdefense nachgeforscht, um das Ausmaß des Verstoßes zu beurteilen. Am 24. Juli haben wir den OCD-Erstbericht erhalten.

Wir haben diesen Verstoß gegen die Datenschutzbestimmungen der französischen Datenschutzbehörde (CNIL) gemäß den geltenden Gesetzen gemeldet.

Befolgt Ledger die DSGVO?

Das Ziel von Ledger geht sogar über die einfache Einhaltung der DSGVO und anderer Datenschutzbestimmungen hinaus.  Innerhalb von drei Tagen nach Feststellung der Datenpanne meldete Ledger die Informationen der französischen Datenschutzbehörde und erhielt Aktualisierungen, sobald diese verfügbar waren. Ledger arbeitet auch und kommuniziert offen mit anderen Datenschutzbehörden. 

Das Datenschutzteam von Ledger wurde auch mobilisiert, um alle datenschutzbezogenen Fragen, die Kunden uns möglicherweise senden, zu beantworten und zu verwalten. Wenn Sie eine spezielle Anfrage zu Ihren Daten haben (Zugriff, Löschung...) füllen Sie bitte das Formular aus, das Sie hier finden. 

Unser Ziel ist es, Ihre personenbezogenen Daten wie Namen, Adresse und Telefonnummer so schnell wie möglich vollständig zu löschen. Um mehr zu tun als gemäß der DSGVO nötig ist, fordern wir uns und Drittanbieter auf, diese Daten so kurz wie möglich aufzubewahren, um unseren Verpflichtungen gegenüber unseren Kunden (z. B. der Ausführung Ihrer Bestellung) und den Gesetzen (z. B. Buchhaltung und gesetzlichen Verpflichtungen) nachzukommen. Daten, die aufbewahrt werden müssen, werden in eine zusätzlich segregierte Umgebung verschoben. Beispielsweise möchten wir Ihre E-Commerce-Bestellinformationen wie Namen, Adressen und Telefonnummern drei Monate nach dem Versand Ihrer Produkte in eine segregierte Umgebung verschieben.

Was kann ich tun, um meine Daten in Zukunft zu schützen?

Hüten Sie sich vor Phishing-Versuchen, die sich als Ledger ausgeben, um Ihre Wiederherstellungsphrase anzufordern. Ledger wird Sie niemals nach den 24 Wörtern Ihrer Wiederherstellungsphrase fragen, auch nicht in Ledger Live, und Ledger wird Sie niemals per SMS oder Telefonanruf kontaktieren.

Wenn Sie die Sicherheit Ihrer Wiederherstellungsphrase verbessern möchten, empfehlen wir Ihnen, unsere Best Practices für erweiterte Sicherheitsmaßnahmen zu konsultieren und zu berücksichtigen, dass im Notfall durch dreimaliges Eingeben des falschen PIN-Codes Ihr Gerät zurückgesetzt wird.

Welche Sicherheitsmaßnahmen wurden getroffen, um unsere persönlichen Daten zu schützen?

Um die Integrität und Vertraulichkeit Ihrer persönlichen Daten zu gewährleisten, implementieren wir geeignete physische, elektronische und organisatorische Verfahren, um personenbezogene Daten innerhalb unserer gesamten Services zu schützen und zu sichern.
Weitere Einzelheiten zu den implementierten Sicherheitsmaßnahmen finden Sie in unserer Datenschutzrichtlinie.
Wir setzen unter anderem folgende Sicherheitsmaßnahmen um:

  • Zahlungsdatensicherheit: Wenn Sie uns Kreditkarteninformationen zur Verfügung stellen, werden diese Informationen mit einem sicheren Transport-Layer-Security-Protokoll (TLS) verschlüsselt und direkt an unseren Payment-Service-Provider (PSP) gesendet. Diese Informationen werden niemals auf unserem Server gespeichert.
  • Sensibilisierungsprogramm und Mitarbeiterschulungen
  • Datenverschlüsselung während des Transports und im Ruhezustand
  • Rechenzentren werden regelmäßig geprüft
  • Datenredundanz für Ausfallsicherheit bei Katastrophen
  • Rollenbasierte Authentifizierung
  • Zwei-Faktor-Authentifizierung unserer autorisierten Mitarbeiter
  • Kontinuierliche Systemüberwachung
  • Sicherheitsbewertungen nach Branchenstandard
  • Unabhängige Sicherheitsüberprüfungen und Pentesting von Drittanbietern
  • Einstellung eines neuen Chief Information Security Officers (CISO)
  • Mehr als 200 Phishing-Websites seit dem ursprünglichen Verstoß entfernt

Sind Sie sicher, dass es auf Ihrer E-Commerce-Website kein ähnliches Problem gibt? Verwenden Sie andere APIs?

Wir haben eine interne Revision durchgeführt und keine weiteren Probleme festgestellt. Wir überprüfen das jedoch weiterhin regelmäßig, um dies weiter sicherzustellen. Wir führen regelmäßig externes Pentesting durch und ermutigen andere IT-Sicherheitsforscher, sich über unser Bug-Bounty-Programm an uns zu wenden.

Wie können Sie sicher sein, dass der im Mai bekannt gegebene mutmaßliche Verstoß gegen Shopify-Daten ein falscher Alarm war?

Wir hatten Zugriff auf eine Stichprobe der angeblich geleakten Datenbank und stellten fest, dass diese nicht mit unserer Datenbank übereinstimmte. 

Wie hat sich die Datenpanne auf Amazon-Bestellungen ausgewirkt, insbesondere auf Rechnungs-/Versandadressen?

Informationen aus Amazon-Bestellungen (einschließlich E-Mail-, Rechnungs- und Versandadressen aus Bestellungen) waren von der Datenpanne nicht betroffen.

Haben Sie Kenntnis von derzeit laufenden Phishing-Angriffe auf Ihre Kunden?

Ja, wir überwachen die Kampagne kontinuierlich auf einer speziellen Seite. Phishing-Kampagnen gehören in dieser Branche zum Alltag. Deshalb haben wir die Ledger Academy gegründet, um unsere Benutzer zu schulen. Wir führen regelmäßig Kampagnen durch, um unsere Benutzer an die Gefahren von Phishing-Angriffen zu erinnern und Ihnen beizubringen stets Vorsicht walten zu lassen. Wir haben seit 2 Jahren ein Markenschutzteam, um solche missbräuchlichen Inhalte zu überwachen und durchzusetzen. 

Haben Sie identifiziert, wer Ihre Datenbank kompromittiert hat? Haben Sie eine Ahnung?

Nein. Wir haben beim französischen Staatsanwalt eine Strafanzeige eingereicht, die auf vorläufigen Beweisen basiert, die dank des unabhängigen forensischen Untersuchungsberichts von Orange Cyberdefense, den wir ständig aktualisieren, dargelegt wurden. Die Untersuchungen dauern an.

Kreuzen Sie meine Ledger Live-Daten mit anderen Daten? (E-Com, HW)

Nein, wir kreuzen sie nicht mit anderen Daten. 

Geben Sie Daten an Behörden weiter?

Ledger gibt keine Kundendaten weiter, es sei denn, dies ist nach geltendem Recht, wie in unserer Datenschutzrichtlinie beschrieben, erforderlich.

Warum löschen Sie Ihre Datenbank nicht? 

Aus rechtlichen Gründen sind wir verpflichtet, einige Transaktionsinformationen zu den Kontaktdaten unserer Kunden und deren Bestelldaten zu speichern.

In Übereinstimmung mit dem Grundsatz der Begrenzung der Aufbewahrung von Daten im Rahmen der geltenden Gesetze sind wir bestrebt, Daten nur so lange aufzubewahren, wie es zur Erfüllung solcher legitimer und rechtmäßiger Zwecke erforderlich ist, einschließlich der Erfüllung rechtlicher, buchhalterischer, steuerlicher oder sonstiger Berichtspflichten.

Wir können einige Ihrer personenbezogenen Daten mit eingeschränktem Zugriff für einen zusätzlichen Zeitraum archivieren, wenn es unbedingt erforderlich ist, dass wir unseren gesetzlichen und/oder behördlichen Archivierungspflichten und den geltenden Verjährungsfristen nachkommen. Am Ende dieses zusätzlichen Zeitraums werden Ihre verbleibenden personenbezogenen Daten dauerhaft aus unseren Systemen gelöscht oder anonymisiert.

Wenn Sie ein Produkt oder einen Service bei uns gekauft haben, können wir einige Transaktionsdaten, die Ihren Kontaktdaten beigefügt sind, aufbewahren, um unseren gesetzlichen, steuerlichen oder buchhalterischen Verpflichtungen für einen Zeitraum von maximal 10 Jahren gemäß den geltenden französischen Gesetzen nachzukommen. Dies lässt uns außerdem unsere Rechte verwalten (zum Beispiel unsere Ansprüche vor Gerichten geltend zu machen), während der geltenden französischen Verjährungsfristen.

Wir müssen auch einige Ihrer in dieser Datenbank enthaltenen personenbezogenen Daten aufbewahren, damit wir Ihre Fragen beantworten, potenzielle Ansprüche bearbeiten und Beweise für strafrechtliche Ermittlungen aufbewahren können.

Nach der Shopify-Datenpanne ändern wir die Art und Weise, wie wir mit diesen Daten umgehen und gehen damit über die Anforderungen der DSGVO hinaus und verfolgen einen Best-in-Class-Ansatz:

  1. Unser Ziel ist es, Ihre personenbezogenen Daten wie Namen, Adresse und Telefonnummer so schnell wie möglich vollständig zu löschen. Wir streben an, diese Daten so kurz wie möglich zu halten, um unseren Verpflichtungen gegenüber unseren Kunden (z. B. Abwicklung Ihrer Bestellung) und den Gesetzen (z. B. Buchhaltung und gesetzlichen Verpflichtungen) nachzukommen. Dies gilt auch für Drittanbieter. Daten, die aufbewahrt werden müssen, werden in eine zusätzlich segregierte Umgebung verschoben. Beispielsweise möchten wir Ihre E-Commerce-Bestellinformationen wie Namen, Adressen und Telefonnummern drei Monate nach dem Versand Ihrer Produkte in eine segregierte Umgebung verschieben.
  2. Wir wollen die Anzahl der Stellen reduzieren, an denen Ihre personenbezogenen Daten angezeigt werden. Beispielsweise löschen wir die Namen, Adressen und Telefonnummern aus den Bestellbestätigungs-E-Mails, die wir an Sie senden, damit diese Daten nicht über unseren E-Commerce-E-Mail-Anbieter übertragen werden.
  3. Wir werden ein Messaging-Modell implementieren, über das proaktiv wichtige Sicherheits- und technische Informationen über Ledger Live übertragen werden. E-Mails und soziale Medien werden NUR für die Übertragung von Produktnachrichten und Ankündigungen verwendet.
  4. Wir werden eine detaillierte Neubewertung aller unserer Lieferanten und Partner durchführen, um sicherzustellen, dass sie weiterhin den höchsten Standards entsprechen.

Sind die 24 Wörter in der Datenbank gespeichert?

Nein, unsere Kunden haben die vollständige und alleinige Kontrolle über ihre Wiederherstellungsphrase. Ledger wird niemals Ihre Wiederherstellungsphrase anfordern. 

Wenn Sie unsere E-Commerce-Daten nicht schützen können, wie können Sie unsere Gelder schützen und sichern?

Dies ist die genaueste und legitimste Frage, die wir von unseren Kunden beantworten können. In der Tat haben wir uns seit der Gründung von Ledger auf die Sicherheit unserer Produkte konzentriert, da wir wussten, dass diese Branche starke, vollständig überwachte und überprüfbare Sicherheitslösungen benötigt. Wir sind entschlossen, unseren Kunden Sicherheitsprodukte anzubieten, die wir mit bestem Wissen überwachen.

Diese Datenpanne ist auf einen falsch konfigurierten API-Schlüssel eines Drittanbieters zurückzuführen, der auf unserer E-Commerce-Webseite gehostet wurde Es hat nichts mit unseren Sicherheitsprodukten und ihrer eigenen Infrastrukturen zu tun. Dies bedeutet nicht, dass diese Situation nicht ernst ist. Dies bedeutet, dass es nichts mit dem Sicherheitsniveau unserer Produkte zu tun hat.

Wir bedauern diesen Vorfall sehr. Wir nehmen Datenschutz sehr ernst. Wir haben dieses Problem dank unseres eigenen Bug-Bounty-Programms entdeckt und es sofort behoben. Unabhängig von allem, was wir getan haben, um diese Situation zu vermeiden und zu beheben, entschuldigen wir uns aufrichtig für die Unannehmlichkeiten, die diese Angelegenheit bei unseren Kunden verursacht hat.

Diese Situation ist sehr stressig. Was soll mich beruhigen?

Wir verstehen Ihre Bedenken und bedauern diesen Vorfall zutiefst. Datenpannen und Phishing-Angriffe sind ein branchenweites Problem. Wir arbeiten jeden Tag weiter an diesem Problem und nehmen Datenschutz und Datensicherheit sehr ernst. Sobald wir dieses Problem dank unseres eigenen Bug-Bounty-Programms entdeckt haben, haben wir es sofort behoben und uns bemüht, Sie zu informieren. Unabhängig von allem, was wir getan haben, um diese Situation zu vermeiden und zu beheben, entschuldigen wir uns aufrichtig für die Unannehmlichkeiten, die diese Angelegenheit bei unseren Kunden verursacht hat. Diese Datenpanne steht jedoch nicht im Zusammenhang mit unseren Hardware-Wallets und der Sicherheit von Ledger Live und hat keine Auswirkungen darauf.

Crypto Casey fasst die Situation hervorragend in diesem Video und zusammen und zeigt, wie Sie sich schützen können.  Bitte unternehmen Sie alle Schritte, um sich und Ihre Krypto zu schützen. 

Ihre Krypto-Assets sind sicher und waren nie in Gefahr. Wir sind dankbar für das Vertrauen, das Sie in unsere Produkte gesetzt haben. In Zukunft können Sie von unseren Services ein Höchstmaß an Professionalität, Transparenz und Reaktionsfähigkeit erwarten.

Kennen, bieten oder empfehlen Sie einen Überwachungsservice für „ID-Diebstahl“?

Nein, wir empfehlen es nicht, einen solchen Service zu nutzen. Stattdessen empfehlen wir unseren Kunden, Vorsichtsmaßnahmen zu treffen und sich vor Phishing-Versuchen zu hüten, die sich als Ledger ausgeben, um Ihre Wiederherstellungsphrase anzufordern. Ledger wird Sie niemals nach den 24 Wörtern Ihrer Wiederherstellungsphrase fragen, auch nicht in Ledger Live, und Ledger wird Sie niemals per SMS oder Telefonanruf kontaktieren.

Wenn Sie die Sicherheit Ihrer Wiederherstellungsphrase verbessern möchten, empfehlen wir Ihnen, unsere Best Practices für erweiterte Sicherheitsmaßnahmen zu konsultieren und zu berücksichtigen, dass im Notfall durch dreimaliges Eingeben des falschen PIN-Codes Ihr Gerät zurückgesetzt wird.

Was tun Sie, um zu verhindern, dass erneut eine Datenpanne auftritt?

Diese Datenpannen stellen uns vor eine große Herausforderung. Ihr Vertrauen ist uns sehr viel mehr wert als Ihre Daten. Aus diesem Grund haben wir uns entschlossen, den Umgang mit Daten bei Ledger vollständig zu ändern. Wir gehen damit über die Anforderungen der DSGVO hinaus und verfolgen einen Best-in-Class-Ansatz:

  • Unser Ziel ist es, Ihre personenbezogenen Daten wie Namen, Adresse und Telefonnummer so schnell wie möglich vollständig zu löschen. Wir streben an, diese Daten so kurz wie möglich zu halten, um unseren Verpflichtungen gegenüber unseren Kunden (z. B. Abwicklung Ihrer Bestellung) und den Gesetzen (z. B. Buchhaltung und gesetzlichen Verpflichtungen) nachzukommen. Dies gilt auch für Drittanbieter. Daten, die aufbewahrt werden müssen, werden in eine zusätzlich segregierte Umgebung verschoben. Beispielsweise möchten wir Ihre E-Commerce-Bestellinformationen wie Namen, Adressen und Telefonnummern drei Monate nach dem Versand Ihrer Produkte in eine segregierte Umgebung verschieben.
  • Wir wollen die Anzahl der Stellen reduzieren, an denen Ihre personenbezogenen Daten angezeigt werden. Beispielsweise löschen wir die Namen, Adressen und Telefonnummern aus den Bestellbestätigungs-E-Mails, die wir an Sie senden, damit diese Daten nicht über unseren E-Commerce-E-Mail-Anbieter übertragen werden.
  • Wir werden ein Messaging-Modell implementieren, über das proaktiv wichtige Sicherheits- und technische Informationen über Ledger Live übertragen werden. E-Mails und soziale Medien werden NUR für die Übertragung von Produktnachrichten und Ankündigungen verwendet.
  • Wir werden eine detaillierte Neubewertung aller unserer Lieferanten und Partner durchführen, um sicherzustellen, dass sie weiterhin den höchsten Standards entsprechen.

Diebstähle und Angriffe wie diese müssen untersucht oder strafrechtlich verfolgt werden.  Damit Kryptowährungen sich entwickeln können, muss der Diebstahl von Kryptowährungen mit einer Strafe geahndet werden.  Wir arbeiten weiterhin mit Strafverfolgungsbehörden sowie privaten Ermittlern in diesen Fällen zusammen und fügen mehr Schlagkraft hinzu:

  • Wir stellen zusätzliche private Ermittler ein und gewinnen somit Erfahrung und Ansätze, um die Verantwortlichen für diese Datendiebstähle zu finden.  Wir werden weiterhin mit den globalen Strafverfolgungsbehörden zusammenarbeiten, um die Verantwortlichen zu finden, zu verhaften und strafrechtlich zu verfolgen, wo immer dies möglich ist.
  • Wir setzen eine Belohnung aus für neue Informationen, die legal erhalten werden und zur Identifizierung, Verhaftung und erfolgreichen strafrechtlichen Verfolgung der Verantwortlichen für die Angriffe gegen Ledger und unsere Kunden führen.  Ledger hat ein Wallet mit 10 BTC (Adresse: bc1qshfl9cnyjam64m3c2jpsg23u34z7w0kkwncdsd) als anfängliche Belohnung gesetzt. Diese wird nach Ermessen von Ledger ausgezahlt und berücksichtigt Faktoren wie, ob die Informationen legal eingeholt wurden. Sind sie neu? Wie umfangreich sind die Informationen und inwieweit werden sie dazu beitragen, die Ermittlungen voranzutreiben und eine direkte Möglichkeit zur strafrechtlichen Verfolgung der schuldigen Personen zu schaffen? War diese Verfolgung erfolgreich? Im Allgemeinen unterliegt dies den hier verfügbaren Bestimmungen unseres Belohnungsprogramms.
  • Wir geben unsere Absicht bekannt, bei dieser Initiative mit anderen in der Branche zusammenzuarbeiten.  Wir haben uns auch an andere Unternehmen und Einzelpersonen in der Branche gewandt, um das Belohnungsprogramm für Straftaten gegen die Krypto-Community finanziell zu unterstützen.  CEOs anderer Unternehmen im Kryptobereich, wenn Sie sich uns bei diesem Projekt anschließen möchten, setzen Sie sich bitte umgehend mit uns in Verbindung
E-Commerce- und Marketing-Datenpanne – FAQ

War dieser Beitrag hilfreich?