Hackger Bitcoin बाउंटी और हैक के बाद नए डेटा सुरक्षा जोड़ता है

मैट जॉनसन, लेजर के नए मुख्य सूचना सुरक्षा अधिकारी (CISO) के पास सिर्फ दौड़ने के लिए नहीं बल्कि अच्छी तरह से दौड़ लगाते हुए मैदान मारने के अलावा कोई विकल्प नहीं था। डेटा सुरक्षा और बढ़ते हमलों जैसे कि बिटकॉइन पंपिंग के उपोत्पाद के रूप में आने वाले अन्य क्षेत्रों के बीच, काम के पहले सप्ताह में ग्राहकों की जानकारी के एक व्यापक डेटा डंप से नतीजे की छानबीन में उलझा हुआ था।

कंपनी के इतिहास में सबसे बड़ी हैक के बाद, और जॉनसन के शुरू होने के एक हफ्ते के बाद, हार्डवेयर वॉलेट कंपनी लेजर ने डेटा ब्रीच को संबोधित करने और इस तरह की हैक को फिर से सुनिश्चित नहीं करने के लिए अपने पहले उपायों की घोषणा की है।

इनमें हैकर्स का शिकार करने के लिए ब्लॉकचैन एनालिटिक्स फर्म Chainalysis के साथ काम करना, 5 की पेशकश शामिल है बीटीसी हैकर की गिरफ्तारी के लिए अग्रणी सूचना के लिए इनाम और कंपनी ने क्या जानकारी रखी है, जहां यह संग्रहीत है और इसे कितने समय तक बनाए रखा गया है, इसकी व्यापक समीक्षा करें।

लेजर ने सार्वजनिक रूप से खुलासा किया कि ग्राहक जानकारी को जुलाई 2020 में समझौता किया गया था। उस समय, कंपनी ने अनुमान लगाया था 9,500 है ग्राहक हैक से प्रभावित हुए थे। बाद के महीनों में, CoinDesk ने हैकर्स द्वारा निष्पादित किए गए फ़िशिंग प्रयासों को ईमेल सहित, को समझाने का एक स्ट्रिंग प्रलेखित किया आधिकारिक लेजर पत्राचार और पाठ संदेश की नकल की।

फिर, दिसंबर 2020 में, ए डेटा फेंका गया “के रूप में 1 मिलियन ईमेल पते और 272,000 नाम, उन लोगों के मेल पते और फोन नंबर उजागर किए, जिन्होंने लेजर के उपकरणों का आदेश दिया था, जो क्रिप्टोक्यूरेंसी पर्स के लिए निजी कुंजी संग्रहीत करते हैं,” जैसा कि CoinDesk ने बताया। प्रभावित लोगों की संख्या मूल अनुमान से बहुत अधिक थी 9,500 है।

डेटा डंप के बाद के दिनों में सिम स्वैप की गड़बड़ी की सूचना मिली थी और कुछ ग्राहकों को मिलना शुरू हो गया था जबरन वसूली हिंसा के खतरों सहित ईमेल।

अब, लेजर ने हैक के बारे में नई जानकारी जारी की है, जिससे पता चलता है कि संभावना थी कि, उस समय, Shopify पर अभिनेताओं को दुष्ट करने के लिए, इसके ई-कॉमर्स भागीदार उस समय।

23 दिसंबर, 2020 को, लेजर को एक घटना की शॉपिफाई द्वारा अधिसूचित किया गया था जिसमें “व्यापारी डेटा को शामिल किया गया था जिसमें उनकी सहायता टीम के दुष्ट सदस्य (ग्राहक) ने ग्राहक लेनदेन रिकॉर्ड प्राप्त किए थे, जिसमें लेजर का भी रिकॉर्ड था। एक ब्लॉग पोस्ट के अनुसार, अप्रैल और जून 2020 में एजेंट (ओं) ने अवैध रूप से निर्यात किए गए ग्राहक लेनदेन रिकॉर्ड्स को निर्यात किया।

Shopify ने बताया कि लेज़र डेटा ब्रीच इसके प्रकटीकरण का हिस्सा था सितंबर 2020, जिसमें 200 से अधिक व्यापारी शामिल थे। 21 दिसंबर, 2020 तक, हालांकि, Shopify ने यह नहीं पाया था कि इस हमले में लेजर का भी निशाना बनाया गया था। Shopify ने बताया कि लेजर की जांच जारी है और यह मुद्दा कानून प्रवर्तन को सूचित किया गया है।

पिछले दिसंबर में एक साक्षात्कार में, लेज़र के सीईओ पास्कल गॉथियर ने कॉइनडेस्क को बताया कि शुरुआती हैक का हिस्सा था, कंपनी का परिणाम इतनी जल्दी हो गया, और वह और आने वाले CISO मैट जॉनसन एक नई डेटा नीति की घोषणा करेंगे और आगे के पते पर योजना बनाएंगे जनवरी में लीक।

आज, लेजर ने भविष्य के लिए अपनी योजनाओं की घोषणा की।

सबसे पहले और सबसे महत्वपूर्ण, एक ब्लॉग पोस्ट में, लेजर ने दोहराया कि कंपनी अपने 24 रिकवरी शब्दों के लिए ग्राहकों से कभी नहीं पूछेगी, जिसका उपयोग बिटकॉइन और क्रिप्टो वॉलेट तक पहुंचने के लिए किया जा सकता है। उन्होंने यह भी जोर दिया कि जब तक ग्राहकों ने इन शब्दों को साझा नहीं किया था, तब तक उनके लेजर हार्डवेयर डिवाइस सुरक्षित थे।

“हम लेज़र को इकट्ठा करने और ग्राहक डेटा को संभालने के तरीके में परिवर्तन की घोषणा कर रहे हैं: व्यक्तिगत डेटा को कानूनी तौर पर यथासंभव कम समय के लिए रखना, ईमेल में व्यक्तिगत डेटा के प्रदर्शन को कम करना, आवश्यक डेटा को जल्द से जल्द अलग वातावरण में स्थानांतरित करना। और लेजर लाइव के माध्यम से हमारे ग्राहकों के साथ 1: 1 संचार करने के लिए एक सुरक्षित चैनल बना रहा है, “लेखक, नए CISO मैट जॉनसन सहित, लिखा था।

सबसे पहले, लेजर डेटा को स्टोर करने के तरीके को बदल रहा है। एक साक्षात्कार में, जॉनसन ने कहा कि जबकि वह उपयोगकर्ता डेटा को बिल्कुल भी नहीं रखना पसंद करेगा, कंपनी को कानूनी तौर पर कुछ समय के लिए ऐसा करने के लिए बाध्य किया जाता है। जॉनसन के अनुसार, यूरोपीय संघ के जनरल प्रोटेक्शन डेटा रेगुलेशन द्वारा गोपनीयता की आवश्यकता है, लेकिन लेजर इससे आगे जाना चाहता है।

जॉनसन ने कहा, “जीडीपीआर से परे जाकर, हमारा मतलब है कि ‘डेटा को जीडीपीआर की तुलना में अधिक समय तक रोककर रखना’ नहीं है, लेकिन इसके विपरीत है।” “हमारा लक्ष्य जल्द से जल्द नाम, पता और फोन नंबर जैसे डेटा को हटाना है, भले ही हमें उन्हें जीडीपीआर के तहत रखने की अनुमति हो। हालांकि, कुछ डेटा को हमें अपने कानूनी दायित्वों जैसे कि लेखांकन या कर आवश्यकताओं को पूरा करने के लिए रखने की आवश्यकता होगी, और इस डेटा को इसकी पहुंच को सीमित करने के लिए और अलग किया जाएगा। ”

आगे बढ़ते हुए, लेजर अपने ई-कॉमर्स पार्टनर के डेटा को डिलीट कर देगा और साथ ही कस्टमर डेटा को एक डेटाबेस में ले जाएगा, जो आपके ऑर्डर के पूरा होते ही इंटरनेट से एक्सेस नहीं किया जा सकता, जैसे ही वे कानूनी रूप से सक्षम होते हैं, उसे डिलीट करने से पहले ।

कंपनी ग्राहकों को भेजे गए पुष्टिकरण ईमेल से नाम, पते और फोन नंबर भी हटा रही है, ताकि यह डेटा तीसरे पक्ष के ई-कॉमर्स ईमेल प्रदाताओं के माध्यम से पारित न हो।

ईमेल तथा सामाजिक मीडिया केवल विपणन संदेशों और घोषणाओं के लिए उपयोग किया जाएगा, लेजर लाइव खातों को तकनीकी और सुरक्षा जानकारी संवाद करने के लिए स्थापित किया जा रहा है, प्रतीत होता है कि पिछले फ़िशिंग घोटाले के उदाहरणों से बचने के लिए, जिसमें स्कैमर्स ने लेजर उपयोगकर्ताओं को प्रोत्साहित किया महत्वपूर्ण सुरक्षा अद्यतन डाउनलोड करें वास्तविक दिखने वाले ईमेल के माध्यम से।

अंत में, जॉनसन डेटा को संभालने वाले तीसरे पक्षों की व्यापक समीक्षा करेंगे।

जॉनसन ने जूम कॉल में कहा, “हम अपनी तीसरी पार्टियों में से हर एक की परीक्षा से गुजर रहे होंगे, जिसे हमें आपूर्ति श्रृंखला के हिस्से के साथ डेटा को साझा या प्रसारित करना होगा।”

“हम गुजर रहे हैं और यह सुनिश्चित करते हुए देख रहे हैं कि उनकी सभी प्रक्रियाएं उचित और कठोर हैं, क्योंकि यदि हम अपना डेटा उन्हें सौंप रहे हैं, तो हमें 100% सुनिश्चित करने की आवश्यकता है कि वे वास्तव में अपने सबसे अच्छे रूप में काम कर रहे हैं। उन सभी न्यूनतम आवश्यकताओं को पूरा करने की क्षमता, और अधिमानतः उन्हें उस पार जाने के लिए धक्का देना। “

लेजर विभिन्न कानून प्रवर्तन एजेंसियों के साथ-साथ ब्लॉकचेन एनालिटिक्स फर्म Chainalysis के साथ काम कर रहा है। यह भी हैक के लिए जिम्मेदार लोगों से संबंधित जानकारी के लिए एक बिटकॉइन इनाम की स्थापना की है।

“हम नीचे चल रहे हैं, इसलिए हम वास्तव में पुनर्प्राप्त करने में सक्षम हो सकते हैं, अगर यह सब संभव है, तो निधियों को चोरी करना, अगर यह एक्सचेंजों पर उतर रहा है,” जॉनसन ने कहा। “हम सुनिश्चित करना चाहते हैं कि जानकारी सभी कानूनी तरीके से प्राप्त की जा रही है और कानून प्रवर्तन एजेंसियों के साथ सीधे साझा की जा रही है।

जॉनसन ने कहा कि लेजर यह सुनिश्चित करना चाहता है कि सभी जानकारी एकत्रित करना कानूनी रूप से और “उपरोक्त बोर्ड” के लिए जिम्मेदार व्यक्तियों पर मुकदमा चलाने के लक्ष्य के साथ किया जाए।

ब्लॉग पोस्ट ने बिटकॉइन बाउंटी को अर्हता प्रदान की, जिसमें कहा गया कि बीटीसी का नेतृत्व लेजर के विवेक पर किया जाएगा और विभिन्न कारकों पर विचार किया जाएगा। जॉनसन की टिप्पणियों की गूंज में, ये शामिल हैं कि क्या जानकारी कानूनी रूप से प्राप्त की गई है, क्या यह नया है, यह कितना पर्याप्त है और यह जांच और सफल अभियोजन को आगे बढ़ाने की दिशा में कितना आगे बढ़ेगा।

कंपनी को यह भी उम्मीद है कि वह क्रिप्टो उद्योग में अन्य कंपनियों और व्यक्तियों के साथ मिलकर इस इनाम को निधि दे सकती है। यह एक सामान्य उद्देश्य इनाम निधि, उद्योग भर में घोटाले और फ़िशिंग हमलों से लड़ने के लिए नींव का एक प्रकार है।

“हम सक्रिय रूप से उस पारिस्थितिकी तंत्र की रक्षा और सुधार के लिए काम करने की कोशिश कर रहे हैं,” जॉनसन ने कहा।

लेजर इंजीनियरिंग टीम एक ऐसा उत्पाद भी विकसित कर रही है जो “एक हमलावर के साथ अपने रिकवरी बीज को साझा करने पर भी एक उपयोगकर्ता के धन की रक्षा करेगा।”

जेरमे डी टाइची, लेज़र में क्लाइंट सक्सेस के ग्लोबल हेड, ने एक ईमेल में कहा कि फ़िशिंग के अधिकांश हमले लेज़र नैनो मालिकों को उनके 24-शब्द वाक्यांश को प्रकट करने पर निर्भर करते हैं। स्कैमर्स घबराहट के उस उचित क्षण पर कब्जा कर लेते हैं, जहां मालिकों को लगता है कि उनके फंड जोखिम में हैं। उस समय महत्वपूर्ण सुरक्षा उपायों को याद रखना हमेशा संभव नहीं होता है, खासकर जब स्कैमर लेजर सपोर्ट स्टाफ के रूप में पोज देते हैं।

“हम इस समस्या को स्वीकार कर रहे हैं और हम जल्द ही एक तकनीकी समाधान जारी करेंगे, जो हमारे हार्डवेयर वॉलेट की सुरक्षा के एकल स्तंभ के रूप में 24 शब्दों को हटा देगा और साथ ही साथ बीमा को निधि भी खोलेगा,” डी टाइची ने एक ईमेल में कहा कॉइनडेस्क

इन परिवर्तनों को कैसे और कब स्पष्ट किया जाता है, इसे आगे बढ़ाते हुए और कार्यान्वित करके उपयोगकर्ताओं के विश्वास को पुनः प्राप्त करने की दिशा में एक लंबा रास्ता तय किया जाएगा। लेकिन वे एक व्यापक डेटा उल्लंघन के बाद में लेजर की सुरक्षा के लिए एक कदम आगे का प्रतिनिधित्व करते हैं, और बस क्रिप्टो समुदाय के लिए और अधिक आम तौर पर काम कर सकते हैं। बिटकॉइन और अन्य altcoins फलफूलने के साथ, क्रिप्टो टूल और उत्पादों के आसपास सुरक्षा एक पुनरावृत्ति प्रक्रिया है।

जॉनसन ने कहा, “हमेशा ये नए रास्ते हैं जिनका लोग फायदा उठाने की कोशिश करते हैं।” “तो हमें उस निरंतर पुनर्मूल्यांकन को करना होगा और पूछना होगा कि आज जो भी है, उससे अधिक सुरक्षित बनाने के लिए हम और क्या कर सकते हैं। लेजर वॉलेट से समझौता नहीं किया गया है, इसलिए वे मानव तत्वों के बाद समय और समय और फिर से जा रहे हैं। तो हम और क्या कर सकते हैं? अंतिम ग्राहक की सुरक्षा के लिए हम और क्या कर सकते हैं? क्योंकि ये असली लोग हैं। ”