Ledger爆資安危機!駭客網站公開超過27,000名客戶隱私訊息,源自6月數據洩漏事件

今日凌晨,Ledger 冷錢包被爆出有大量用戶個資被分享於「突襲論壇」(RaidForums)上。Ledger 團隊隨後也證實此事為真。從初步跡象來看,個資有可能來自於 Ledger 六月份遭洩露的內部電商數據庫內容,目前粗估有超過 100 萬名用戶受到波及。
(前情提要:瑞波|冷錢包 Ledger 驚傳大規模釣魚攻擊,駭客已盜走「28 萬美元 — 115萬顆 XRP」

 

(21)日凌晨,網路安全公司 Hudson Rock 資訊長阿隆・加爾(Alon Gal)在推特發文表示,在駭客網站「突襲論壇」(RaidForums)上,有大量的冷錢包服務供應商 Ledger 的用戶數據可供人「免費下載」。

初步統計,有超過 100 萬名用戶郵件帳號,以及 27 萬名買家的購買細節、手機號碼、郵件帳號、居住地址遭公開。雖然 Ledger 官方尚未清楚說明,但遭洩漏的用戶個資很有可能來自於今年 6 月底遭駭客流出的 Ledger 內部電商數據。

加爾接著指出,由於 Ledger 買家通常是高淨值加密資產人士,個資遭洩漏可能將這些人士暴露於多重風險,除了可能的郵件騷擾外,人身安全亦將面臨極大威脅。

Ledger 在稍後間接證實了加爾說法,並在推特上回應,根據目前初步判斷,遭洩露的數據很有可能是來自 Ledger 今年 6 月份的電商數據資料庫;外媒《Coindesk》專欄作家 Nic Carter 則在推特上更新,確認部分遭洩漏個資有來自 2019 年以前的用戶數據。

除了向用戶深表遺憾,Ledger 也已經通知法國數據保護機構(CNIL),並正在與世界各地的數據保護機構合作;若用戶擔心遭受釣魚郵件攻擊,可以去 Ledger 網站查證最新的釣魚攻擊以避免上當。

Ledger 市場營銷副總裁佩萊沃金(Benoit Pellevoizin)稍早向《Decrypt》表示,洩露的信息可能會被用於網絡釣魚攻擊,企圖誘騙 Ledger 客戶交出其私鑰。

佩萊沃金表示:

基本上,透過電子郵件,他們可以假冒 Ledger 官方,要求用戶輸入「助記詞」,獲取錢包權限,但 Ledger 官方從不會要求用戶這樣做。

最後,Ledger 團隊再次向用戶重申:絕對不要與任何人分享 24 個英文單字組成的「助記詞」(recovery phase);Ledger 團隊永遠不會要求用戶提供備份短語,也不會以文字簡訊或是電話聯繫。

在 Ledger 數據庫遭駭消息傳出之後,已有多名用戶表示自己已成為網路釣魚攻擊目標;其中部分用戶收了到類似官方發出的釣魚信件,被要求下載新版本加密錢包軟體。

Ledger 恐面臨用戶集體提告

今年五月底,Ledger 和另外兩間大型加密錢包服務商 Trezor、KeepKey 就已傳出用戶數據資料遭駭,當時據稱是電商巨頭 Shopify 系統漏洞所導致。

Ledger 也於今年七月底發表文章,坦言確實遭駭客入侵,並有近 100 萬名個資遭竊取。許多用戶認為,就是因為 Ledger 團隊當時沒有積極處理,導致現在情況失控,因此相當的不滿。

其中,推特用戶 Ryan Olah 更於 Ledger 推文下留言回應,直言若有律師考慮提集體訴訟,會有很多人舉雙手贊成。他憂心表示:「現在情況已經惡化一萬倍了」。

《Coindesk》專欄作家尼克・卡特(Nic Carter)也在推特中表示,數據遭洩漏後,用戶遭綁架機率將因此高出許多,除了請用戶小心自身安全以外,建議用戶先盡快更換手機號碼。

Nic Carter 的擔憂其來有自,過去曾有過多起加密貨幣商人遭綁架新聞,如今年 1 月,新加坡軟體開發商人鄭成全(Mark Cheng)就因持有加密貨幣而遭綁架,並被要求鄭以比特幣支付價值 46,000 萬美元贖金,所幸鄭後來成功脫逃,部分歹徒也遭當局逮補。

📍相關報導📍

嚴防詐騙!SpaceX 飛龍號發射成功,馬斯克要「送15億的比特幣」?這是推特常見的釣魚騙局

幣安懸賞570萬!助美國司法部緝捕「2018年釣魚攻擊」兩名俄羅斯嫌犯

駭客幽默?DeFi 保險 Nexus Mutual 創辦人「錢包被駭820萬美元」,可以理賠嗎?


讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務

加入好友

加入好友