(ENG/FR/SPA/GER) E-ticaret ve Pazarlama veri ihlali - SSS

English Français Español Deutsch

E-ticaret ve Pazarlama veri ihlali - SSS

14 Temmuz'da bir araştırmacı e-ticaret ve pazarlama veritabanımızdaki bir veri ihlalinden bizi haberdar etmek için ödül programımız aracılığıyla iletişime geçti. Veri ihlalini derhal düzelttik ve iç soruşturmalar başlattık. Açığa çıkan verilerin yetkisiz erişime maruz kaldığını tespit ettik. Fonlarınız güvendedir.

20 Aralık'ta, bir Ledger müşteri veritabanının içeriğinin dökümü hakkında bilgi aldık. Soruşturma devam ediyor ancak ilk emareler bize bunun daha önce ihlal edilmiş e-ticaret veritabanımızın içeriği olabileceğini gösteriyor.

23 Aralık'ta e-ticaret hizmet sağlayıcımız Shopify tarafından, destek ekiplerindeki görevini kötüye kullanan bazı üyelerin Ledger'ınkiler de dahil olmak üzere müşteri işlem kayıtlarını ele geçirdikleri, satıcı verilerini içeren bir olay hakkında bilgilendirildik.

Sık sorulan soruların yanıtlarını aşağıda bulabilirsiniz. Veri ihlaliyle ilgili ayrıntılar için Blog gönderimizeShopify olayı için ise bu makaleye bakabilirsiniz.

Kişisel verilerim (ad, adres, telefon numarası) ele geçirildi mi?

Temmuz ayında ihlalin farkına vardıktan sonra, kişisel verilerinin sızdırıldığını log'lardan tespit ettiğimiz, ihlalden etkilenen 9.500 müşteriye bir e-posta gönderdik. Böyle bir e-posta almadıysanız, e-posta adresiniz dışındaki kişisel verilerinizin sızdırıldığına dair bir kanıt an itibarıyla yoktur.

20 Aralık'ta dökümden haberdar edildikten sonra, ilk baştaki 9.500 müşteriden daha büyük bir grubun kişisel verilerinin açığa çıktığı anlaşıldı. Bu gruptaki tüm müşterilere bir e-posta gönderdik (yaklaşık 272.000 kişi). Bu grupta yer alıyorsanız, 21 Aralık 2020'de sizi bilgilendiren özel bir e-posta almış olmanız gerekir.

13 Ocak'ta Shopify ihlalinden etkilenen yaklaşık 292.000 müşteriyle iletişim kurduk. Verileriniz bu Shopify veri ihlali yoluyla ele geçirilmişse, başlığı "SECURITY NOTICE: Ledger included in Shopify database breach" olan bir e-posta 13 Ocak 2021 tarihinde saat 18:00 (TSİ) civarında size gönderilmiştir.

Temmuz 2020'de bildirilen veri ihlalinde ne oldu?

Bir saldırgan, web sitemizde yanlış yapılandırılmış ve müşterilerimizin iletişim bilgilerine ve sipariş verilerine yetkisiz erişime izin veren bir üçüncü taraf API anahtarı aracılığıyla e-ticaret ve pazarlama veritabanımızın bir kısmına erişti.

Bu üçüncü taraf çözümü kimdir? Müşterilerin verilerini neden işliyordu?

Ledger e-ticaret ve pazarlama ekipleri, ledger.com üzerinden ürün satın almış veya bültenlerimizi almak için kaydolmuş müşterilere işlem ve pazarlama e-postaları göndermek ve analiz etmek için üçüncü taraf bir çözüm (Iterable) kullanır.

Bu sorun ne zamandır var?

Soruna neden olan üçüncü taraf API anahtarının yanlış yapılandırması, 9 Ağustos 2018 tarihinden bu yana çalışmaktadır. Elimizdeki kanıtlar ve log'lar ışığında, Nisan 2020'de keşfedildiğini ve 28 Haziran 2020'ye kadar bundan yararlanıldığına inanıyoruz. 

Shopify'da ne oldu?

23 Aralık'ta e-ticaret hizmet sağlayıcımız Shopify tarafından, destek ekiplerindeki görevini kötüye kullanan bazı üyelerin Ledger'ınkiler de dahil olmak üzere müşteri işlem kayıtlarını ele geçirdikleri, satıcı verilerini içeren bir olay hakkında bilgilendirildik. Temsilciler müşteri işlem kayıtlarını Nisan ve Haziran 2020'de yasa dışı bir şekilde dışa aktarmış. Shopify'a göre bu olay, 200'den fazla satıcıyı ilgilendiren Eylül 2020'de rapor edilen olayla ilişkili ancak 21 Aralık 2020 tarihine kadar Shopify, Ledger'ın da bu saldırıda hedef alındığını tespit etmemiş. Shopify bize bu konuyla ilgili soruşturmalarını sürdürmek için adli bilişim uzman ve danışmanlarını görevlendirdiklerini ve konuyu hem Kanada'da hem de ABD'de kolluk kuvvetlerine bildirdiklerini söylüyor.

Adli bilişim firması Orange Cyberdefense ile birlikte bu olayın yaklaşık 292.000 müşteriyi etkilediğini tespit edebildik. Veritabanı önceki saldırıda açığa çıkanlarla %93 benzerlik gösterse de e-posta, ad, posta adresi, sipariş edilen ürünler ve telefon numarası bilgilerini de içeren yaklaşık 20.000 yeni müşteri kaydı vardı.

2020 Haziran ayı bittikten sonra bir Ledger ürünü satın aldıysanız veya veya ürününüzü Ledger.com dışında satın aldıysanız, verileriniz bu olaylarda açığa çıkmamıştır.

Ledger'ın müşteri veritabanından ne tür veriler ele geçirildi?

Her iki ihlalde de açığa çıkan bilgiler e-ticaret ve pazarlama veritabanlarıyla ilgilidir. E-posta, ad ve soyadı, telefon numarası ve posta adresi bilgilerinin yanı sıra satın alınan ürünün türünü içermektedir.

Kredi kartı bilgilerini içermemektedir.

An itibarıyla, yaklaşık 1 milyon e-posta adresinin yanı sıra ad ve soyadı, telefon numarası, posta adresi ve satın alınan ürünler gibi bilgileri içeren yaklaşık 292.000 kişisel veri kaydının sızdırıldığını biliyoruz.

Neden 272.000 değil de 9.500 kişisel veri sahibiyle iletişim kurdunuz?

Sızdırılan kişisel verilerin (ad, fiziksel adres, telefon numarası) Temmuz 2020'de belirlenmesi, yalnızca 9.500 kişinin etkilendiğine dair kanıt bulunduğunu söyleyen üçüncü taraf güvenlik danışmanımızın adli bilişim analizine dayanmaktadır. Biz hızla ve o anda sahip olduğumuz bilgiler ışığında harekete geçtik. An itibarıyla, yaklaşık 272.000 kullanıcının ayrıntılı bilgilerinin (ad, posta adresi, telefon numarası) ele geçirildiğini yayınlanan veritabanından doğrulayabiliyoruz.

Veri ihlali düzeltildi mi?

Temmuz ayında keşfedilen veri ihlaliyle ilgili olarak: Temmuz ayında veri ihlali tespit edilir edilmez aynı gün içinde düzeltildi ve API anahtarı devre dışı bırakıldı.

Shopify veri ihlaliyle ilgili olarak: Olaydan haberdar olduktan sonra, Shopify, ilgili kişinin ağ erişimini derhal askıya aldı, dizüstü bilgisayarına el koydu ve soruşturmayı sürdürmek için adli bilişim uzmanlarını ve danışmanlarını görevlendirdi.

Ledger'ı gelecekte daha güçlü bir hâle getirmek için elimizden gelen her şeyi yapıyoruz. Yeni bir Bilgi Güvenliği Sorumlusu Şefi (CISO) işe aldık. Zaten güçlü olan sistemlerimizi daha da sağlamlaştırıyoruz. Bunları test etmek ve e-ticaret sistemlerimizde başka güvenlik açıkları olup olmadığını bulmak için dış güvenlik firmalarıyla sızma testleri ve adli tıp analizleri yaptık. 

Suçluları kovuşturmak için sürekli olarak kolluk kuvvetleriyle beraber çalışıyoruz. Veri ihlallerini Fransız veri koruma yetkilisine bildirdik ve dünyanın dört bir yanındaki diğer veri koruma yetkilileriyle çalışıyoruz.

Müşteri fonları etkilendi mi?

Hayır. Ödeme bilgileri, kimlik bilgileri (parolalar) ve kripto fonları etkilenmedi. Bu veri ihlalinin donanım cüzdanlarımız ve Ledger Live uygulaması ile hiçbir bağlantısı ve bunun üzerinde hiçbir etkisi yoktur. Kripto varlıklarınız güvendedir ve tehlikede değildir.

Güvenlik modelimiz, saldırganların donanım aygıtlarımızla ilgili kurtarma ifadeleri ve özel anahtarlar gibi hassas bilgilere erişmesini engeller. Kullanıcılar bu bilgiler üzerinde tam kontrol sahibidir ve bu bilgilere onlardan başkası erişemez.

Ya banka hesap numaraları, sosyal güvenlik bilgileri gibi “halka açık olmayan kimlik bilgileri”?

Gizlilik Politikamızda belirtildiği gibi, bu bilgileri asla talep etmeyiz ve tutmayız.

Müşteri verileri şirket içinde mi yoksa bir üçüncü taraf tedarikçi tarafından mı işleniyor?

Gizlilik Politikamız uyarınca, veri sorumlusu olarak verilerinizin bazılarını ilgili sözleşmeli ve yasal çerçeveler dâhilinde ödeme hizmeti sağlayıcıları (PSP'ler), altyapı, lojistik ve diğer hizmet sağlayıcıları gibi üçüncü taraflara iletebiliriz. 

Hiç fidye talep edildi mi?

Bazı fidye talepleri bize bildirildi. Aynı mesaj farklı dillerde e-posta ve SMS ile gönderildiği için bunun diğer bir küresel dolandırıcılık girişimi olduğuna inanıyoruz. Saldırıyı özel bir sayfada sürekli olarak izliyoruz.

Ledger bu sorunu çözmek için hangi düzeltici tedbirleri alıyor?

  • Veri ihlalini hemen düzelttik
  • Üçüncü bir taraftan müşteri verilerimize herhangi bir yetkisiz erişimi tespit etmek için veri ihlalini hem şirket içi hem de şirket dışı adli bilişim uzmanlarıyla (Orange Cyber Defense) derhal soruşturmaya başladık.
  • Veri ihlalini Fransız Veri Koruma Yetkilisi'ne bildirdik ve durum hakkındaki gelişmelerden onları haberdar ettik.
  • Müşterilerimizi bilgilendirdik.
  • Fransız Başsavcılığına resmen bir suç duyurusunda bulunduk ve yeni bilgileri kendilerine iletiyoruz.
  • Şirket içi sızma testleri yaptık ve ilk başta Eylül 2020'de yapılması planlanan şirket dışı sızma testlerinin tarihini öne çekiyoruz.
  • İlgili Yasalara uyumumuzu devamlı olarak sağlamak için veri saklama politikalarımızda periyodik şirket içi denetimler planladık.
  • Başlangıçta Ürünlerimize (HW ve Vault) odaklanan güvenlik ve organizasyon programımızın kapsamına e-ticareti de dâhil ediyoruz. ISO 27001'de listelenen şartları karşılamaya yönelik adımlar atıyoruz.

Hacker'lar tarafından ele geçirilen bilgiler İki Faktörlü Kimlik Doğrulama (2FA) önlemlerini atlayabilir mi?

Hayır. 2FA, güvenlik düzenimizle ilgili olmadığından e-ticaret web sitemiz hiçbir oturum açma/parola bilgisini saklamaz. 

Fiziksel zorbalık bildiren bir müşteri var mı?

Bildiğimiz kadarıyla yok. Ne son zamanlarda ne de geçmişte böyle bir durum olmadı ama bazı dolandırıcılık olayları fiziksel şiddet tehdidi içeriyor. Böyle bir tehdit alırsanız, lütfen derhal yerel kolluk kuvvetleri ile iletişime geçin. Ayrıca soruşturmamıza dâhil edilmek üzere tehdidi bu sayfada bize de bildirebilirsiniz. Ledger'ın fiziksel saldırı tehditleri göz önünde bulundurularak tasarlandığını lütfen bilin. Kendinizi nasıl koruyacağınıza ve nasıl sürekli tetikte olacağınıza ilişkin talimatlar için en iyi ileri seviye güvenlik önlemleri uygulamalarına bakın. Saldırıyı özel bir sayfada sürekli olarak izliyoruz.

Bundan endişe duyan müşterilerimize en iyi ileri seviye güvenlik önlemleri uygulamalarımıza bakmalarını ve acil durumlarda 3 kez yanlış PIN kodu girilmesi durumunda aygıtın sıfırlanacağını unutmamalarını öneririz.

Ledger bu pazarlama ve e-ticaret verilerinin ihlalini herkese duyurmak için neden bir haftadan fazla bekledi?

Gerekli tüm verilere sahip olmayı istedik ve öncelikle yasal yükümlülüklerimizi yerine getirmemiz gerekiyordu.

Sorunu derhal çözdük ve ihlalin kapsamını değerlendirmek üzere şirket içinde bir soruşturma başlattık. İhlalin boyutunu değerlendirmek için Orange Cyberdefense ile beraber soruşturmayı sürdürdük ve OCD'nin ilk raporunu 24 Temmuz'da aldık.

İlgili yasalar uyarınca bu veri ihlalini Fransa Veri Koruma Yetkilisi olan CNIL'ye bildirdik.

Ledger GDPR'ye uyuyor mu?

Ledger'ın hedefi, yalnızca GDPR ve diğer veri koruma yönetmeliklerine uymakla kalmanın çok ötesindedir.  Veri ihlallerinin tespit edilmesinden sonraki 3 gün içinde, Ledger bilgileri Fransa Veri Koruma yetkilisine bildirmiş ve güncellemeleri hazır olur olmaz yayınlamıştır. Ledger ayrıca diğer veri koruma yetkilileri ile de beraber çalışmakta ve açık bir şekilde iletişim kurmaktadır. 

Ledger'ın gizlilik ekibi de müşterilerin bize gönderebileceği gizlilikle ilgili soruları yanıtlamaya ve yönetmeye hazırdır. Verileriniz hakkında belirli bir isteğiniz varsa (erişim, silme vb.) lütfen privacy@ledger.fr adresine bir e-posta gönderin.

Hedefimiz ad, adres ve telefon numarası gibi kişisel verilerinizi mümkün olan en kısa sürede tamamen silmektir. GDPR'nin gerekliliklerinin ötesine geçmek için, kendimizi ve üçüncü taraf sağlayıcıları, müşterilerimize (siparişinizi yerine getirmek gibi) ve yasalara (muhasebe ve yasal yükümlülükler gibi) karşı yükümlülüklerimizi yerine getirmek için yalnızca gerekli olduğu kadar kısa bir süre için bu verileri saklamaya zorluyoruz. Saklanması gereken veriler ayrı bir ortama koyulacaktır. Örneğin, ürününüzün gönderilmesinden üç ay sonra ad, adres, telefon numarası gibi e-ticaret sipariş bilgilerinizi ayrı bir ortama koymayı hedefliyoruz.

Bundan sonra kendimi korumak için ne yapabilirim?

Kurtarma ifadenizi istemek için Ledger'ı taklit eden oltalama girişimlerine dikkat edin. Ledger, Ledger Live uygulamasında bile kurtarma ifadenizi oluşturan 24 kelimeyi hiçbir zaman istemez ve SMS veya telefon çağrısı yoluyla sizinle asla iletişim kurmaz.

Kurtarma ifadenizin güvenliğini artırmak istiyorsanız, en iyi ileri seviye güvenlik önlemleri uygulamalarımıza bakmanızı ve acil durumlarda 3 kez yanlış PIN kodu girilmesi durumunda cihazınızın sıfırlanacağını unutmamanızı öneririz.

Kişisel Verilerimizi korumak için hangi güvenlik önlemleri alınmıştı?

Kişisel verilerinizin bütünlüğünü ve gizliliğini sağlamak için, hizmetlerimiz genelinde kişisel verileri korumak ve güvence altına almak için uygun fiziksel, elektronik ve kurumsal prosedürler uyguluyoruz.
Uygulanan güvenlik önlemleri hakkında daha fazla bilgi Gizlilik Politikamızda mevcuttur.
Diğerlerinin yanı sıra aşağıdaki güvenlik önlemlerini uyguluyoruz:

  • Ödeme Verileri güvenliği: Bize kredi kartı bilgileri sağlarsanız, bu bilgiler güvenli bir İnternet Ticaret Protokolü (TLS) kullanılarak şifrelenir ve doğrudan Ödeme Hizmeti Sağlayıcımıza (PSP) gönderilir. Bu bilgiler hiçbir zaman sunucumuzda saklanmaz.
  • Farkındalık programı ve çalışan eğitimleri
  • Taşınan ve bekleyen verilerin şifrelenmesi
  • Veri merkezlerinin düzenli olarak denetlenmesi
  • Felaketlerde esneklik için veri serbestliği
  • Rol tabanlı kimlik doğrulaması
  • Yetkili çalışanlarımız için iki faktörlü kimlik doğrulaması
  • Sürekli sistem izleme
  • Sektör standardı güvenlik değerlendirmeleri
  • Bağımsız üçüncü taraf güvenlik incelemeleri ve sızma testleri
  • Yeni bir Bilgi Güvenliği Sorumlusu Şefi'nin (CISO) işe alınması
  • İlk ihlalden bu yana 200'den fazla oltalama web sitesinin kapatılması

E-ticaret sitenizde benzer başka bir sorun olmadığından emin misiniz? Başka API'ler kullanıyor musunuz?

Şirket içi bir denetim yaptık ve başka hiçbir sorun bulmadık. Bununla birlikte, bir sorun olmadığından emin olmak için düzenli olarak değerlendirmeye devam ediyoruz. Düzenli olarak dışarıdan sızma testleri gerçekleştiriyoruz ve diğer BT güvenliği araştırmacılarını Hata Ödül Programımız aracılığıyla bize ulaşmaya teşvik ediyoruz.

Mayıs ayında açıklanan Shopify veri ihlalinin uydurma olduğundan nasıl emin olabilirsiniz?

Sızdırdığı iddia edilen veri tabanının bir örneğine eriştik ve veri tabanımızla eşleşmediğini gördük. 

Veri ihlali Amazon siparişlerini, özellikle de fatura/gönderim adreslerini nasıl etkiledi?

Amazon siparişlerindeki hiçbir bilgi (siparişlerdeki e-posta, fatura ve gönderim adresleri de dâhil) veri ihlalinden etkilenmedi.

Müşterilerinize yönelik mevcut oltalama saldırılarının farkında mısınız?

Evet ve saldırıyı özel bir sayfada sürekli olarak izliyoruz. Oltalama saldırıları sektörde oldukça standarttır, bu yüzden kullanıcılarımızı eğitmek için Ledger Academy'yi oluşturduk. Kullanıcılarımıza oltalama saldırılarının tehlikelerini ve her zaman dikkatli olmalarını hatırlatmak için düzenli olarak girişimlerde bulunuyoruz. Bu tür kötü niyetli içerikleri izlemek ve bunlara karşı yasal süreçleri başlatmak için 2 yıldır bir marka koruma ekibimiz var. 

Veritabanını kimin ele geçirdiğini tespit ettiniz mi? Herhangi bir ipucunuz var mı?

Hayır. Orange Cyberdéfense'in sürekli güncellediğimiz adli bilişim bağımsız soruşturma raporunda özetlenen ön kanıtlara dayalı olarak Fransa Başsavcılığı'na suç duyurusunda bulunduk. Soruşturma halen devam ediyor.

Ledger Live verilerimi diğer verilerle birleştiriyor musunuz? (e-com, HW)

Hayır, bunu yapmıyoruz. 

Verileri hükûmetlerle paylaşıyor musunuz?

Gizlilik Politikamızda açıklandığı üzere, İlgili Yasalar uyarınca bunu yapmak zorunda olmadığı sürece Ledger müşteri bilgilerini paylaşmaz.

Veri tabanınızı niçin temizlemiyorsunuz? 

Yasal nedenlerden ötürü, müşterilerimizin iletişim bilgileri ve sipariş verileriyle ilgili bazı işlem bilgilerini saklamakla yükümlüyüz.

İlgili yasalarda belirtilen saklama sınırı ilkesi uyarınca, her türlü yasal, muhasebe, vergi veya diğer mevzuata uyum bildirimi gerekliliklerinin yerine getirilmesi de dahil olmak üzere, bu tür meşru ve yasal amaçlar doğrultusunda gereken süreden daha uzun süre saklamamaya çalışıyoruz.

Yasal ve/veya düzenlemeler çerçevesindeki arşivleme yükümlülüklerimize ve ilgili zaman aşımı sürelerine uymamızın kesinlikle gerekli olduğu durumlarda, kişisel verilerinizden bazılarını kısıtlı bir erişimle ek bir süre boyunca arşivleyebiliriz. Bu ek sürenin sonunda kalan kişisel verileriniz sistemlerimizden kalıcı olarak silinir veya anonimleştirilir.

Bizden bir ürün veya hizmet satın aldıysanız, Fransa'daki ilgili yasalarda belirtilen maksimum 10 yıllık bir süre boyunca yasal, vergi veya muhasebe yükümlülüklerimizi yerine getirmek ve Fransa'daki ilgili zaman aşımı süreleri zarfında haklarımızı yönetmemize (örneğin mahkemelerde taleplerde bulunmak için) olanak vermek için İletişim Bilgilerinize eklenmiş bazı işlem verilerini saklayabiliriz.

Sorularınıza cevap verebilmemiz, potansiyel talepleri işleme alabilmemiz ve cezai soruşturma için kanıtları saklamamız için bu veritabanında yer alan kişisel verilerinizin de bazılarını saklamamız gerekir.

Shopify ihlalini takiben, GDPR ilkelerinin ötesine geçmek ve sınıfının en iyisi yaklaşımını benimsemek için bu verileri ele alma şeklimizi değiştiriyoruz:

  1. Hedefimiz ad, adres ve telefon numarası gibi kişisel verilerinizi mümkün olan en kısa sürede tamamen silmektir. Kendimizi ve üçüncü taraf sağlayıcıları, müşterilerimize (siparişinizi yerine getirmek gibi) ve yasalara (muhasebe ve yasal yükümlülükler gibi) karşı yükümlülüklerimizi yerine getirmek için, gerekli olduğu kadar kısa bir süre için bu verileri saklamaya zorluyoruz. Saklanması gereken veriler ayrı bir ortama koyulacaktır. Örneğin, ürününüzün gönderilmesinden üç ay sonra ad, adres, telefon numarası gibi e-ticaret sipariş bilgilerinizi ayrı bir ortama koymayı hedefliyoruz.
  2. Kişisel bilgilerinizin görüntülendiği yerleri en aza indireceğiz.  Örneğin, bu verilerin e-ticaret e-posta sağlayıcımızdan geçmemesi için size gönderdiğimiz sipariş onay e-postalarından ad, adres ve telefon numarasını sileceğiz.
  3. Proaktif önemli güvenlik ve teknik bilgilerin Ledger Live aracılığıyla iletileceği bir mesajlaşma modeli uygulayacağız. E-posta ve sosyal medya YALNIZCA ürün mesajlarını ve duyurularını yayınlamak için kullanılacaktır.
  4. Tüm tedarikçilerimiz ve ortaklarımızın en yüksek standartları karşılamaya devam etmelerini sağlamak için ayrıntılı bir yeniden değerlendirme yapacağız.

24 kelime veritabanında mı saklanıyor?

Hayır! Kurtarma ifadesinin kontrolü tamamen ve yalnızca müşterilerimizdedir. Ledger, kurtarma ifadenizi asla istemez. 

E-ticaret verilerimizi koruyamıyorsanız, fonlarımızı nasıl koruyabilir ve güvence altına alabilirsiniz?

Bu, müşterilerimizden alabileceğimiz en doğru ve meşru sorudur. Gerçekten de Ledger'ın kuruluşundan bu yana ürünlerimizin güvenliğine odaklandık, çünkü bu sektörün büyümek için güçlü, tamamen izlenen ve denetlenebilir güvenlik çözümlerine ihtiyaç duyduğunu biliyorduk ve müşterilerimize sınıfının en iyisi bir bilgi birikimiyle izlediğimiz güvenlik ürünlerini sunmayı taahhüt ediyoruz.

Bu veri ihlali, e-ticaret web sayfamızda barındırılan yanlış yapılandırılmış bir üçüncü taraf API anahtarından kaynaklanıyor. Bunun güvenlik ürünlerimizle ve ürünlerimizin altyapılarıyla hiçbir ilgisi yoktur. Ancak bu, durumun ciddi olmadığı anlamına gelmez. Sadece, ürünlerimizin güvenlik seviyesiyle ilgili olmadığı anlamına gelir.

Bu olaydan dolayı son derece üzgünüz. Gizliliği çok ciddiye alıyoruz. Hata Ödül Programımız sayesinde bu sorunu keşfettik ve hemen düzelttik. Ancak bu durumu önlemek ve düzeltmek için yaptığımız her şeyden bağımsız olarak, bu konunun müşterilerimize verdiği rahatsızlıktan dolayı içtenlikle özür dileriz.

Bu durum bende büyük bir stres yarattı, içim nasıl rahat edecek?

Endişelerinizi anlıyoruz ve bu olay için son derece üzgünüz. Veri ihlalleri ve oltalama saldırıları sektör çapında bir sorundur. Bu sorun üzerinde her gün çalışmaya devam ediyoruz, gizlilik ve veri güvenliğini çok ciddiye alıyoruz. Hata Ödül Programımız sayesinde bu sorunu keşfeder keşfetmez hemen düzelttik ve sizi bilgilendirmek üzere çalışmalara başladık. Ancak bu durumu önlemek ve düzeltmek için yaptığımız her şeyden bağımsız olarak, bu konunun size verdiği her türlü rahatsızlıktan dolayı içtenlikle özür dileriz. Ancak bu veri ihlalinin donanım cüzdanlarımız ve Ledger Live güvenliği ile hiçbir bağlantısı ve üzerinde hiçbir etkisi yoktur.

Crypto Casey, bu video ve pod yayınında durumu ve kendinizi nasıl koruyabileceğinizi çok güzel özetliyor. Kendinizi ve kripto'larınızı güvende tutmak için gereken tüm önlemleri lütfen alın. 

Kripto varlıklarınız güvendedir ve hiçbir zaman tehlikede olmamıştır. Ürünlerimize duyduğunuz güven için minnettarız. Bundan böyle hizmetlerimizden en yüksek profesyonellik, şeffaflık ve yanıt verme standardını bekleyebilirsiniz.

Bir “Kimlik hırsızlığı” izleme hizmetini biliyor, sağlıyor veya öneriyor musunuz?

Hayır, böyle bir hizmeti kullanmanızı önermiyoruz. Bunun yerine, müşterilerimizin her türlü güvenlik önlemini almalarını ve kurtarma ifadesini istemek için Ledger'ı taklit eden oltalama girişimlerine dikkat etmelerini öneriyoruz. Ledger, Ledger Live uygulamasında bile kurtarma ifadenizi oluşturan 24 kelimeyi hiçbir zaman istemez ve SMS veya telefon çağrısı yoluyla sizinle asla iletişim kurmaz.

Kurtarma ifadenizin güvenliğini artırmak istiyorsanız, en iyi ileri seviye güvenlik önlemleri uygulamalarımıza bakmanızı ve acil durumlarda 3 kez yanlış PIN kodu girilmesi durumunda cihazınızın sıfırlanacağını unutmamanızı öneririz.

Bir veri ihlalinin tekrar gerçekleşmesini önlemek için ne yapıyorsunuz?

Bu veri ihlalleri bizi derinden sarstı. Güveniniz bizim için verilerinizden çok daha değerlidir. Bu nedenle, Ledger'da verileri ele alma şeklimizi tamamen değiştirmeye karar verdik. GDPR ilkelerinin ötesine geçmek ve sınıfının en iyisi yaklaşımını benimsemek için bu verileri ele alma şeklimizi değiştiriyoruz:

  • Hedefimiz ad, adres ve telefon numarası gibi kişisel verilerinizi mümkün olan en kısa sürede tamamen silmektir. Kendimizi ve üçüncü taraf sağlayıcıları, müşterilerimize (siparişinizi yerine getirmek gibi) ve yasalara (muhasebe ve yasal yükümlülükler gibi) karşı yükümlülüklerimizi yerine getirmek için, gerekli olduğu kadar kısa bir süre için bu verileri saklamaya zorluyoruz. Saklanması gereken veriler ayrı bir ortama koyulacaktır. Örneğin, ürününüzün gönderilmesinden üç ay sonra ad, adres, telefon numarası gibi e-ticaret sipariş bilgilerinizi ayrı bir ortama koymayı hedefliyoruz.
  • Kişisel bilgilerinizin görüntülendiği yerleri en aza indireceğiz. Örneğin, bu verilerin e-ticaret e-posta sağlayıcımızdan geçmemesi için size gönderdiğimiz sipariş onay e-postalarından ad, adres ve telefon numarasını sileceğiz.
  • Proaktif önemli güvenlik ve teknik bilgilerin Ledger Live aracılığıyla iletileceği bir mesajlaşma modeli uygulayacağız. E-posta ve sosyal medya YALNIZCA ürün mesajlarını ve duyurularını yayınlamak için kullanılacaktır.
  • Tüm tedarikçilerimiz ve ortaklarımızın en yüksek standartları karşılamaya devam etmelerini sağlamak için ayrıntılı bir yeniden değerlendirme yapacağız.

Bu gibi hırsızlıklar ve saldırılar soruşturulmalı ve kovuşturulmalıdır. Kripto para sektörünün gelişmesi için, kripto para hırsızlığı yapıldığında ödenecek bir bedel olmalıdır. Bu olaylarda kolluk kuvvetlerinin yanı sıra özel dedektiflerle çalışmaya devam ediyoruz ve daha fazla ateş gücü ekliyoruz:

  • Daha fazla sayıda özel dedektif tutarak bu veri hırsızlıklarından sorumlu olanları bulmak için deneyim ve farklı yaklaşımlar ekliyoruz.  Mümkünse sorumluları bulmak, tutuklamak ve kovuşturmak için dünya çapında kolluk kuvvetleri ile birlikte çalışmaya devam edeceğiz.
  • Ledger'a ve müşterilerimize karşı saldırılardan sorumlu olanların kimliklerinin tespit edilmesi, tutuklanması ve başarılı bir şekilde kovuşturulmasını sağlayacak, yasal olarak elde edilen yeni bilgiler için bir ödül vereceğiz. Ledger ilk ödül rezervi olarak 10 BTC bakiyeli bir cüzdan (adres: bc1qshfl9cnyjam64m3c2jpsg23u34z7w0kkwncdsd) oluşturmuştur. Bu ödül Ledger'ın takdirine bağlı olarak verilecek ve şu gibi faktörler göz önüne alınacaktır: Bilgiler yasal olarak elde edilmiş mi? Yeni mi? Bilgiler ne derece önemli ve soruşturmaya yardımcı olup sorumluların kovuşturulmasını ne derece sağlayabilir? Kovuşturma başarılı oldu mu? Genel anlamda, ödül programımızın burada belirtilen hükümlerine tabi olacaktır.
  • Bu girişimde sektördeki diğer kişilerle iş birliği yapmak istediğimizi duyuruyoruz.  Kripto topluluğuna karşı işlenen suçlar için bu ödül programının finansmanının devam ettirilmesi konusunda sektördeki diğer şirketlere ve kişilere ulaşıyoruz.  Kripto sektöründeki diğer şirketlerin CEO'ları, bu projede bize katılmak isterseniz, lütfen en kısa sürede iletişime geçin
E-ticaret ve Pazarlama veri ihlali - SSS

Bu makale yardımcı oldu mu?