洩露數十萬使用者資訊,硬體錢包Ledger遭遇信任危機

用你的錢包投票。

Ledger已經失去了使用者的信任。

7月份洩露的客戶資訊,早已提供給那些願意付出代價的人,而現在,這些資訊是免費的。

昨晚,有人在raidforums上釋出了Ledger的272853名客戶及1075382名電子郵件使用者的名單及資訊,這讓一些論壇使用者感到沮喪。

2020年7月,一名研究人員在參與Ledger漏洞懸賞計劃時,發現了一個潛在的攻擊向量,後來,人們發現這一攻擊向量已被利用。隨後,Ledger宣佈稱其網站遭到了攻擊:

“未經授權的第三方透過API金鑰訪問了我們的電子商務和市場資料庫的一部分。”

根據報道稱,洩露的資料資訊以近六位數的價格被出售了,這證明了這些個人資訊的價值,而無論是誰在支付這些資訊,他們都是為了從中獲利。

由於這些資訊現在可自由訪問,有使用者報告稱,網路釣魚的嘗試增加了。而在接下來的幾個月裡,我們預計這種行為將繼續增長,因此,如果聽說有人因為這種資料洩露而遭到物理攻擊,也就不足為奇了。

最壞的情況下,洩露的個人資訊可能會導致物理攻擊或入室盜竊。

最初,Ledger告訴我們,已被公開資料的使用者數有9500名,其中包括他們的姓名、郵政地址以及電話號碼。現在,我們發現這個數字實際接近了227,000。

1

Ledger是否故意掩蓋了事件的嚴重性?

我們採訪了Ledger的代表,其提供了以下宣告:

我們仍在調查這一持續存在的問題,洩露的內容可能是Ledger的電子商務資料庫,該資料庫在2020年6月份時遭到洩露。詐騙者可能使用此資料庫透過電子郵件和簡訊活動來進行網路釣魚攻擊。我們的客戶支援團隊一直在努力透過Twitter通知使用者,並回答問題,同時還報告包含資料庫連結的所有推文和Reddit帖子。我們敦促所有使用者不要分享他們的助記詞,並且要記住,團隊不會要求使用者提供私人資訊。自2020年6月發現資料洩露事件以來,我們與外部安全組織合作進行了取證審查。這次審查確認,只有9500名個人受到影響,Ledger支援人員親自聯絡了所有受影響的使用者。自網路釣魚攻擊開始發生以來,我們預計會有更多資訊洩漏,並繼續透過Twitter和電子郵件通知所有使用者。我們正在竭盡全力阻止這些攻擊並避免將來發生這種情況。Ledger採取了一系列措施來保護我們的使用者,使其免受淪為網路釣魚攻擊的受害者。我們已經建立了一個網頁,共享網路釣魚攻擊的解剖結構,以便使用者避免掉入網路釣魚並報告任何新的攻擊:https://www.ledger.com/phishing-campaigns-status對於這種情況,我們深表遺憾,我們的團隊正在努力制止詐騙者,並恢復社羣對我們的信任。我們從一開始就對這一問題持開放和透明的態度,並將在資訊釋出後繼續響應任何新的發展。我們正在繼續分析這些資料,並將繼續提供更新。

2

第三方儲存使用者資訊的問題

這種情況顯示了依賴第三方來儲存我們的資訊的問題。

隨著Web3.0的發展,Web2.0的問題變得越來越明顯。線下公司的強制遵守減慢了我們的進度,並使我們的資訊處於危險之中。

儘管存在已知的集中儲存風險,我們仍被迫將我們的資料委託給這些公司。像Ledger這樣的公司仍在舊世界與新世界之間掙扎,其無法或者不願意實施零知識證明這樣的技術來保護他們的資料庫。

不僅僅是犯罪世界熱衷於檢視這些資訊,在歐洲,已經有一些案例表明,一些官員購買了瑞士銀行客戶的資料,以幫助他們進行稅務欺詐調查。

GDPR的嚴格框架被這一資料洩露所抹殺。要求刪除資料的客戶似乎被忽視了,甚至被欺騙了。

有一位Ledger客戶這樣告訴我們:

在2020年5月份,我給他們發了一封電子郵件,要求他們從多個訂單中刪除關於我的任何資料。我在郵件中引用了GDPR,他們回答說:“謝謝你聯絡我們,我們會盡快完成的。”隨著這次資訊洩露,我進行了交叉檢查,發現自己的大量資料都被洩露了(包括電子郵件、地址、電話……)

Ledger應確保在設定的時間後自動刪除個人資料。

是Ledger不稱職,忽視了這些要求,還是其不夠誠實?

這些現在都已經不重要了,發生的一切都無法改變。

資料洩露沒有治癒方法,唯一的解決辦法就是預防。


作者:隔夜的粥,來源:巴位元資訊

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读