新闻来源连结:
https://www.blocktempo.com/hacker-dumped-ledger-user-database-on-radiforums/
Ledger爆资安危机!骇客网站公开超过27,000名客户隐私讯息,源自6月数据泄漏事件
今日凌晨,Ledger 冷钱包被爆出有大量用户个资被分享于“突袭论坛”(RaidForums)
上。Ledger 团队随后也证实此事为真。从初步迹象来看,个资有可能来自于 Ledger 六
月份遭泄露的内部电商数据库内容,目前粗估有超过 100 万名用户受到波及。
今(21)日凌晨,网络安全公司 Hudson Rock 资讯长阿隆・加尔(Alon Gal)在推特发
文表示,在骇客网站“突袭论坛”(RaidForums)上,有大量的冷钱包服务供应商
Ledger 的用户数据可供人“免费下载”。
初步统计,有超过 100 万名用户邮件帐号,以及 27 万名买家的购买细节、手机号码、
邮件帐号、居住地址遭公开。虽然 Ledger 官方尚未清楚说明,但遭泄漏的用户个资很有
可能来自于今年 6 月底遭骇客流出的 Ledger 内部电商数据。
https://twitter.com/UnderTheBreach/status/1340728236528033797
加尔接着指出,由于 Ledger 买家通常是高净值加密资产人士,个资遭泄漏可能将这些人
士暴露于多重风险,除了可能的邮件骚扰外,人身安全亦将面临极大威胁。
Ledger 在稍后间接证实了加尔说法,并在推特上回应,根据目前初步判断,遭泄露的数
据很有可能是来自 Ledger 今年 6 月份的电商数据数据库;外媒《Coindesk》专栏作家
Nic Carter 则在推特上更新,确认部分遭泄漏个资有来自 2019 年以前的用户数据。
https://twitter.com/Ledger/status/1340769565639233536
除了向用户深表遗憾,Ledger 也已经通知法国数据保护机构(CNIL),并正在与世界各
地的数据保护机构合作;若用户担心遭受钓鱼邮件攻击,可以去 Ledger 网站查证最新的
钓鱼攻击以避免上当。
Ledger 市场营销副总裁佩莱沃金(Benoit Pellevoizin)稍早向《Decrypt》表示,泄露
的信息可能会被用于网络钓鱼攻击,企图诱骗 Ledger 客户交出其私钥。
佩莱沃金表示:
基本上,透过电子邮件,他们可以假冒 Ledger 官方,要求用户输入“助记词”,获取钱
包权限,但 Ledger 官方从不会要求用户这样做。
最后,Ledger 团队再次向用户重申:绝对不要与任何人分享 24 个英文单字组成的“助
记词”(recovery phase);Ledger 团队永远不会要求用户提供备份短语,也不会以文
字短信或是电话联系。
在 Ledger 数据库遭骇消息传出之后,已有多名用户表示自己已成为网络钓鱼攻击目标;
其中部分用户收了到类似官方发出的钓鱼信件,被要求下载新版本加密钱包软件。
https://twitter.com/haveibeenpwned/status/1340770769106731008
Ledger 恐面临用户集体提告
今年五月底,Ledger 和另外两间大型加密钱包服务商 Trezor、KeepKey 就已传出用户数
据资料遭骇,当时据称是电商巨头 Shopify 系统漏洞所导致。
Ledger 也于今年七月底发表文章,坦言确实遭骇客入侵,并有近 100 万名个资遭窃取。
许多用户认为,就是因为 Ledger 团队当时没有积极处理,导致现在情况失控,因此相当
的不满。
其中,推特用户 Ryan Olah 更于 Ledger 推文下留言回应,直言若有律师考虑提集体诉
讼,会有很多人举双手赞成。他忧心表示:“现在情况已经恶化一万倍了”。
https://twitter.com/Ledger/status/1340769565639233536
评论:
https://i.imgur.com/sBpBLE2.png
已经有人收到恐吓信了,之前有购买过ledger硬件钱包的人
要注意可能会有恐吓信或钓鱼邮件