دوران، دوران سختی برای لجر (Ledger) است. چارلز گیلمت (Charles Gilmet)، مدیر ارشد فناوری اطلاعات کمپانی لجر به همه سوالات و انتقادات پاسخ میدهد.
لجر یکی از محبوبترین ارائهدهندگان کیف پولهای سخت افزاری صنعت کریپتو، اخیرا با مشکلات متعددی مواجه بوده است. نفوذ در پایگاه دادههای تماس مشتریان و آسیب پذیری کیف پول سخت افزاری لجر از جمله این مشکلات بودند.
لو رفتن اطلاعات شخصی مشتریان لجر
آیا این حوادث و اتفاقات، صرفا مختص همین چند هفته طاقت فرسا برای شرکت بود یا آیا مشکلات بزرگتری نیز در راه است؟
چارلز گیلمت به این سوال این گونه پاسخ میدهد: با نفوذ در پایگاه دادهها، مهاجم از طریق کلید رابط برنامه نویسی نرم افزاری (API) به بخشی از دادههای بازاریابی و تجارت الکترونیکی دسترسی پیدا کرد و این امکان دستیابی غیرقانونی به اطلاعات سفارشها و جزییات تماس مشتریان را برایش فراهم ساخت.
این نقض دادهها به ماههای ژوئن و جولای امسال بر میگردد. در گزارش مفصلی از Cointelegraph آمده است: در تاریخ چهاردهم جولای، کمپانی از نقضی در وب سایت شرکت مطلع شد. لجر این مشکل را برطرف ساخت؛ ولی متوجه شد که شخصی در تاریخ ۲۵ ماه ژوئن با سوء استفاده از این مشکل توانسته به حدود یک میلیون ایمیل دست یابد و اطلاعات خصوصی ۹۵۰۰ کاربر دیگر از قبیل نام و شماره تماس را افشا کند.
گیلمت خبر داد که شرکت لجر همان روز مشکل را رفع و کلید API مشکل ساز را از کار انداخت. او اضافه کرد که تمام اطلاعات پرداختی، اوراق هویتی (رمزها) و داراییهای ارزی کاربران سالم و دست نخورده باقی مانده است. در ادامه توضیح داد که این لو رفتن دادهها هیچ ارتباط و تاثیری روی کیف پولهای سخت افزاری و اپلیکیشن لجر لایو (Ledger Live) نداشته است. او گفت داراییهای کریپتویی کاربران همواره در امنیت کامل بوده است و این به معنای اعتبار ساختار امنیتی دستگاه سخت افزاری لجر است که اختیار کامل داراییها را به کاربران بر میگرداند.
جیک یوکوم پیات (Jake Yokom-Piatt)، مدیر پروژه رمز ارز دیکرد (Decred)، بیان کرد که از بروز این مشکل اصلا تعجب نکرده است. چون شرکتها به سیستم حفاظتی پایگاه دادههای الکترونیکی کمتر توجه میکنند. او در صحبت با کوین تلگراف اظهار داشت که وقتی محصول اصلی شما یک سخت افزار کاملا امن است، نادیده گرفتن امنیت سیستم نرم افزاری تجارت الکترونیکی چندان کار سختی نخواهد بود.
شرکتهای بزرگ زیادی هستند که امنیت نرم افزاری را یک هزینه و بار اضافی تصور میکنند؛ چون که خارج از خدمات محصول اصلیشان است و نمیتوانند برای کسب سود آن را روانه بازارها نمایند.
کیف پولها مشکل نرم افزاری داشتند
در تاریخ پنجم ماه اوت و به فاصله کوتاهی از نقض دادهها، دارندگان دستگاههای لجر با اشکال و آسیب پذیری نرم افزاری دیگری، این بار پیرامون کیف پول انتخابیشان روبرو شدند. این مشکل اساسا پلی میان بیت کوین و فورکهای مختلف آن از قبیل لایت کوین ایجاد میکرد. با استفاده از این ضعف، مهاجمان میتوانستند تراکنشی را مرتبط با یک ارز جلوه دهند؛ در حالی که بدون اطلاع صاحب کیف پول تراکنش جداگانهای برای ارز دیگری در دستگاه تایید میشد.
لجر در همان روز با بروزرسانی نرم افزاری مساله را حل کرد. در ۲۶ ماه اوت، نماینده روابط عمومی لجر، به تشریح وضعیت وبلاگ شرکت در تاریخ پنجم اوت پراخت؛ با این توضیح که بروزرسانی مذکور پاسخی بود به آسیب پذیری پیدا شده توسط یک bounty hunter (شکارچی جایزه بگیر، شخصی که برای دریافت جایزه، مشکلی را به اطلاع شرکت میرساند).
لجر در ادامه گزارش به کاربران اطمینان خاطر داد که از این آسیب پذیری نمیتوان برای دسترسی به اطلاعات حساسی مانند کلیدهای خصوصی یا عبارت بازیابی استفاده کرد.
کیف پولهای لجر همچنان کارآمد هستند
با وجود مشکلات اخیر، کیف پولهای لجر همچنان گزینه محبوبی برای ذخیره رمز ارزها هستند. جیک یوکوم پیات گفت:
لجر و دیگر کیف پولهای سخت افزاری ارتقای امنیتی مناسبی برای کاربران رمز ارزها هستند؛ چرا که میتوانند از حملات از راه دور همانند keylogging جلوگیری کنند. او اضافه کرد که این مزیت کیف پولهای سخت افزاری به نوعی کاهش حریم خصوصی دارندگان کیف پولها نیز هست. چون ارائه کنندگان این کیف پولها از داراییهای داخل کیف پولها کاملا آگاهند.
در تاریخ سیزدهم اوت، یک کاربر توییتری به نام کریپتو گینز (CryptoGainz)، مشکلات نرم افزاری را توییت کرد که هنگام کار با کیف پول لجر برایش پیش آمده بود. هر چند این انتقاد مدت کوتاهی پس از آسیب پذیری پنجم اوت بود، بیربطی قضیه و عدم صحت آن ثابت شد و کریپتوگینز هنوز به شرکت لجر به عنوان گزینه مناسبی برای ذخیره رمز ارزهایش ایمان دارد. کریپتو گینز در توییتی به کوین تلگراف گفت:
این کیف پولها روش مناسبی برای ذخیره کریپتو هستند؛ ولی برای ترید از طریق متامسک در پلتفرم UniSwap مزخرف هستند.
حمایت از مشتریان لجر
اگر چه کیف پولهای لجر دارای پارامترهایی برای امنیت بیشتر هستند، ولی کاربران نیز باید با تاکتیکها و روشهای محافظت از داراییهایشان آشنایی داشته باشند. گیلمت توضیح میدهد که بیشترین نگرانی ما فیشینگ است؛ ایمیلهایی از طرف کلاهبردارها که خود را جای ما جا میزنند.
فیشینگ زمانی رخ میدهد که شخصی با سوءنیت قبلی از طریق ایمیل یا روشی از راههای ارتباطی به عنوان شرکت یا شخص دیگری تغییر ماهیت میدهد. هدف این کار کسب اطلاعات خصوصی از شما است. گیلمت بیان میکند که ما هرگز عبارت بازیابی ۲۴ کلمهای را از مشتریانمان نمیپرسیم. در ضمن او مشتریان شرکت را به فعال کردن تایید هویت دو مرحلهای و مطالعه اطلاعات آموزشی ارائه شده در سایت شرکت در مورد امنیت، توصیه مینماید.
او این چنین ادامه میدهد:
جدای از بحث فیشینگ، لجر مجهز به تدابیر امنیتی بسیار مناسبی در مقابل بدافزارها است و دستگاههای لجر برای محافظت از دارایی کاربران در مقابل بدافزارهای سیستمهایشان طراحی شدهاند. این اپلیکیشن لجر لایو تقلبی را هم شامل میشود که اپلیکیشنی مخصوص دسکتاپ برای تعامل با کیف پولهاست. کاربران باید مطمئن شوند که آن را از سایت رسمی لجر و یا app store دریافت نمایند.
یوکوم پیات همچنین در مورد مراقبت در مقابل نشت دادههای شرکتها همانند آنچه برای لجر پیش آمده بود نیز صحبت کرد. از آنجایی که سیستمهای تجارت الکترونیک امنیت پایینی دارند، به خریداران این نوع دستگاهها سفارش نمود که برای تحویل گرفتن آنها آدرس واقعی خود را ندهند.
استفاده از آدرس دیگری برای دریافت آنها، کاربران را از خطر احتمالی دزدیده شدن کیف پول سخت افزاری ایمن میکند و در صورت امکان از نصب و استفاده از نرم افزار کیف پول که توسط فروشنده کیف پول سخت افزاری برای افزایش حریم امنیت به شما داده میشود، پرهیز کنید.
سپردن نگهداری از داراییها به خود مشتریان، یکی از نقاط قوت عمده صنعت کریپتو است؛ هر چند که این مستلزم دانش، آگاهی و مهارت فنی است. پیچیدگی آن ممکن است دلیل اصلی رونق محصولات اصلی تجارت صنعت کریپتو باشد؛ مانند صندوقهای قابل معامله که شرکتها دارایی سرمایه گذاران را نگه میدارند.
