知名加密貨幣硬體錢包開發商Ledger 日前發文指出,公司商務資料庫曾於今年6月發生資料洩露事件,不過,使用者資產並未受影響,並且,Ledger已第一時間修復了漏洞。
Ledger 稱,上述事件是由一位參與漏洞賞金計劃的研究人員所發現。在修復漏洞後,Ledger 對此展開調查後發現,這個漏洞在6 月25 日就已經被第三方利用,包括公司的商務資料庫也遭到了入侵,訪問該資料庫的API 金鑰之後已被停用。文內提及,
資料洩漏的原因在於:網頁上託管的第三方API 金鑰配置有誤,而這個錯誤的API 金鑰是於2018 年8 月9 日開始執行。根據手上掌握的資料,我們可以斷定,這個漏洞是在2020 年4 月至2020 年6 月28 日間被第三方發現並利用的。
據瞭解,被駭客入侵的資料庫內有約100 萬名客戶的電郵地址,另外還有近萬名客戶的名字、姓氏、電話號碼、訂單明細等資料也遭洩露。Ledger 表示,目前為止,尚未發現有任何使用者個資資料被放到網路上販賣。
Ledger 表示,幸運的是,駭客並未獲取任何使用者密碼或支付資料,只有入侵到資料資料庫,所以,硬體錢包方面並未受到任何影響,使用者所有的資產也都仍安全。
然而,為了安全起見,Ledger 已第一時間通知法國資料保護局(CNIL),並在上週跟Orange Cyberdefense 合作分析了這次資料洩漏事件的影響深度,還要求有關部門對此事進行全面調查。