مدیر ارشد فناوری اطلاعات لجر (Ledger): این کیف پول کاملا امن است!

دوران، دوران سختی برای لجر (Ledger) است. چارلز گیلمت (Charles Gilmet)، مدیر ارشد فناوری اطلاعات کمپانی لجر به همه سوالات و انتقادات پاسخ می‌­دهد.

لجر یکی از محبوب‌ترین ارائه­‌دهندگان کیف پول­‌های سخت افزاری صنعت کریپتو، اخیرا با مشکلات متعددی مواجه بوده است. نفوذ در پایگاه داده­‌های تماس مشتریان و آسیب ­پذیری کیف پول سخت ­افزاری لجر از جمله این مشکلات بودند.

لو رفتن اطلاعات شخصی مشتریان لجر

آیا این حوادث و اتفاقات، صرفا مختص همین چند هفته طاقت­ فرسا برای شرکت بود یا آیا مشکلات بزرگ‌تری نیز در راه است؟

چارلز گیلمت به این سوال این گونه پاسخ می‌دهد: با نفوذ در پایگاه داده‌ها، مهاجم از طریق کلید رابط برنامه­ نویسی نرم ­افزاری (API) به بخشی از داده­‌های بازاریابی و تجارت الکترونیکی دسترسی پیدا کرد و این امکان دستیابی غیرقانونی به اطلاعات سفارش­‌ها و جزییات تماس مشتریان را برایش فراهم ساخت.

این نقض داده­‌ها به ماه­‌های ژوئن و جولای امسال بر می‌­گردد. در گزارش مفصلی از Cointelegraph آمده است: در تاریخ چهاردهم جولای، کمپانی از نقضی در وب­ سایت شرکت مطلع شد. لجر این مشکل را برطرف ساخت؛ ولی متوجه شد که شخصی در تاریخ ۲۵ ماه ژوئن با سوء استفاده از این مشکل توانسته به حدود یک میلیون ایمیل دست یابد و اطلاعات خصوصی ۹۵۰۰ کاربر دیگر از قبیل نام و شماره تماس را افشا کند.

گیلمت خبر داد که شرکت لجر همان روز مشکل را رفع و کلید API مشکل ساز را از کار انداخت. او اضافه کرد که تمام اطلاعات پرداختی، اوراق هویتی (رمزها) و دارایی­‌های ارزی کاربران سالم و دست­ نخورده باقی مانده است. در ادامه توضیح داد که این لو رفتن داده­‌ها هیچ ارتباط و تاثیری روی کیف پول­‌های سخت افزاری و اپلیکیشن لجر لایو (Ledger Live) نداشته است. او گفت دارایی­‌های کریپتویی کاربران همواره در امنیت کامل بوده است و این به معنای اعتبار ساختار امنیتی دستگاه سخت افزاری لجر است که اختیار کامل دارایی­‌ها را به کاربران بر ­می‌­گرداند.

جیک یوکوم پیات (Jake Yokom-Piatt)، مدیر پروژه رمز ارز دیکرد (Decred)، بیان کرد که از بروز این مشکل اصلا تعجب نکرده است. چون شرکت­‌ها به سیستم حفاظتی پایگاه داده­‌های الکترونیکی کمتر توجه می­‌کنند. او در صحبت با کوین تلگراف اظهار داشت که وقتی محصول اصلی شما یک سخت ­افزار کاملا امن است، نادیده گرفتن امنیت سیستم نرم­ افزاری تجارت الکترونیکی چندان کار سختی نخواهد بود.

شرکت‌­های بزرگ زیادی هستند که امنیت نرم ­افزاری را یک هزینه و بار اضافی تصور می‌­کنند؛ چون که خارج از خدمات محصول اصلی­شان است و نمی‌­توانند برای کسب سود آن را روانه بازارها نمایند.

کیف پول­‌ها مشکل نرم ­افزاری داشتند

در تاریخ پنجم ماه اوت و به فاصله کوتاهی از نقض داده‌­ها، دارندگان دستگاه‌­های لجر با اشکال و آسیب ­پذیری نرم افزاری دیگری، این بار پیرامون کیف­ پول انتخابی­شان روبرو شدند. این مشکل اساسا پلی میان بیت­ کوین و فورک‌­های مختلف آن از قبیل لایت­ کوین ایجاد می­‌کرد. با استفاده از این ضعف، مهاجمان می‌­توانستند تراکنشی را مرتبط با یک ارز جلوه دهند؛ در حالی که بدون اطلاع صاحب کیف پول تراکنش جداگانه‌­ای برای ارز دیگری در دستگاه تایید می‎­شد.

لجر در همان روز با بروزرسانی نرم ­افزاری مساله را حل کرد. در ۲۶ ماه اوت، نماینده روابط عمومی لجر، به تشریح وضعیت وبلاگ شرکت در تاریخ پنجم اوت پراخت؛ با این توضیح که بروزرسانی مذکور پاسخی بود به آسیب­ پذیری پیدا شده توسط یک bounty hunter (شکارچی جایزه بگیر، شخصی که برای دریافت جایزه، مشکلی را به اطلاع شرکت می‌رساند).

لجر در ادامه گزارش به کاربران اطمینان خاطر داد که از این آسیب­ پذیری نمی‌­توان برای دسترسی به اطلاعات حساسی مانند کلیدهای خصوصی یا عبارت بازیابی استفاده کرد.

کیف ­پول‌­های لجر همچنان کارآمد هستند

با وجود مشکلات اخیر، کیف­ پول­‌های لجر همچنان گزینه محبوبی برای ذخیره رمز ارزها هستند. جیک یوکوم پیات گفت:

لجر و دیگر کیف­ پول­‌های سخت ­افزاری ارتقای امنیتی مناسبی برای کاربران رمز ارزها هستند؛ چرا که می­‌توانند از حملات از راه دور همانند keylogging جلوگیری کنند. او اضافه کرد که این مزیت کیف ­پول­‌های سخت­ افزاری به نوعی کاهش حریم خصوصی دارندگان کیف ­پول­‌ها نیز هست. چون ارائه کنندگان این کیف ­پول‌­ها از دارایی­‌های داخل کیف­ پول­‌ها کاملا آگاهند.

در تاریخ سیزدهم اوت، یک کاربر توییتری به نام کریپتو گینز (CryptoGainz)، مشکلات نرم ­افزاری را توییت کرد که هنگام کار با کیف ­پول لجر برایش پیش آمده بود. هر چند این انتقاد مدت کوتاهی پس از آسیب­ پذیری پنجم اوت بود، بی­‌ربطی قضیه و عدم صحت آن ثابت شد و کریپتو­گینز هنوز به شرکت لجر به عنوان گزینه مناسبی برای ذخیره رمز ارزهایش ایمان دارد. کریپتو گینز در توییتی به کوین تلگراف گفت:

این کیف­ پول­‌ها روش مناسبی برای ذخیره کریپتو هستند؛ ولی برای ترید از طریق متامسک در پلتفرم UniSwap مزخرف هستند.

حمایت از مشتریان لجر

اگر چه کیف­ پول­‌های لجر دارای پارامترهایی برای امنیت بیشتر هستند، ولی کاربران نیز باید با تاکتیک­‌ها و روش­‌های محافظت از دارایی‌های­شان آشنایی داشته باشند. گیلمت توضیح می­‌دهد که بیشترین نگرانی ما فیشینگ است؛ ایمیل­‌هایی از طرف کلاهبردارها که خود را جای ما جا می‌­زنند.

فیشینگ زمانی رخ می‌­دهد که شخصی با سوءنیت قبلی از طریق ایمیل یا روشی از راه‌های ارتباطی به عنوان شرکت یا شخص دیگری تغییر ماهیت می­‌دهد. هدف این کار کسب اطلاعات خصوصی از شما است. گیلمت بیان می‌­کند که ما هرگز عبارت بازیابی ۲۴ کلمه­‌ای را از مشتریان­مان نمی‌­پرسیم. در ضمن او مشتریان شرکت را به فعال کردن تایید هویت دو مرحله­‌ای و مطالعه اطلاعات آموزشی ارائه شده در سایت شرکت در مورد امنیت، توصیه می­‌نماید.

او این­ چنین ادامه می‌­دهد:

جدای از بحث فیشینگ، لجر مجهز به تدابیر امنیتی بسیار مناسبی در مقابل بد­افزارها است و دستگاه‌های لجر برای محافظت از دارایی­ کاربران در مقابل بدافزارهای سیستم­‌ها­یشان طراحی شده‌­اند. این اپلیکیشن لجر لایو تقلبی را هم شامل می­‌شود که اپلیکیشنی مخصوص دسکتاپ برای تعامل با کیف­ پول­‌هاست. کاربران باید مطمئن شوند که آن را از سایت رسمی لجر و یا app store دریافت نمایند.

یوکوم پیات همچنین در مورد مراقبت در مقابل نشت داده­‌های شرکت­‌ها همانند آنچه برای لجر پیش آمده بود نیز صحبت کرد. از آنجایی که سیستم‌­های تجارت الکترونیک امنیت پایینی دارند، به خریداران این نوع دستگاه­‌ها سفارش نمود که برای تحویل گرفتن آنها آدرس واقعی خود را ندهند.

استفاده از آدرس دیگری برای دریافت آنها، کاربران را از خطر احتمالی دزدیده شدن کیف پول سخت ­افزاری ایمن می­‌کند و در صورت امکان از نصب و استفاده از نرم ­افزار کیف پول که توسط فروشنده کیف­ پول سخت­ افزاری برای افزایش حریم امنیت به شما داده می­‌شود، پرهیز کنید.

سپردن نگهداری از دارایی‌­ها به خود مشتریان، یکی از نقاط قوت­ عمده صنعت کریپتو است؛ هر چند که این مستلزم دانش، آگاهی و مهارت فنی است. پیچیدگی آن ممکن است دلیل اصلی رونق محصولات اصلی تجارت صنعت کریپتو باشد؛ مانند صندوق­‌های قابل معامله که شرکت­‌ها دارایی سرمایه­ گذاران را نگه می­‌دارند.