新聞來源連結:
https://www.blocktempo.com/hacker-dumped-ledger-user-database-on-radiforums/
Ledger爆資安危機!駭客網站公開超過27,000名客戶隱私訊息,源自6月數據洩漏事件
今日凌晨,Ledger 冷錢包被爆出有大量用戶個資被分享於「突襲論壇」(RaidForums)
上。Ledger 團隊隨後也證實此事為真。從初步跡象來看,個資有可能來自於 Ledger 六
月份遭洩露的內部電商數據庫內容,目前粗估有超過 100 萬名用戶受到波及。
今(21)日凌晨,網路安全公司 Hudson Rock 資訊長阿隆・加爾(Alon Gal)在推特發
文表示,在駭客網站「突襲論壇」(RaidForums)上,有大量的冷錢包服務供應商
Ledger 的用戶數據可供人「免費下載」。
初步統計,有超過 100 萬名用戶郵件帳號,以及 27 萬名買家的購買細節、手機號碼、
郵件帳號、居住地址遭公開。雖然 Ledger 官方尚未清楚說明,但遭洩漏的用戶個資很有
可能來自於今年 6 月底遭駭客流出的 Ledger 內部電商數據。
https://twitter.com/UnderTheBreach/status/1340728236528033797
加爾接著指出,由於 Ledger 買家通常是高淨值加密資產人士,個資遭洩漏可能將這些人
士暴露於多重風險,除了可能的郵件騷擾外,人身安全亦將面臨極大威脅。
Ledger 在稍後間接證實了加爾說法,並在推特上回應,根據目前初步判斷,遭洩露的數
據很有可能是來自 Ledger 今年 6 月份的電商數據資料庫;外媒《Coindesk》專欄作家
Nic Carter 則在推特上更新,確認部分遭洩漏個資有來自 2019 年以前的用戶數據。
https://twitter.com/Ledger/status/1340769565639233536
除了向用戶深表遺憾,Ledger 也已經通知法國數據保護機構(CNIL),並正在與世界各
地的數據保護機構合作;若用戶擔心遭受釣魚郵件攻擊,可以去 Ledger 網站查證最新的
釣魚攻擊以避免上當。
Ledger 市場營銷副總裁佩萊沃金(Benoit Pellevoizin)稍早向《Decrypt》表示,洩露
的信息可能會被用於網絡釣魚攻擊,企圖誘騙 Ledger 客戶交出其私鑰。
佩萊沃金表示:
基本上,透過電子郵件,他們可以假冒 Ledger 官方,要求用戶輸入「助記詞」,獲取錢
包權限,但 Ledger 官方從不會要求用戶這樣做。
最後,Ledger 團隊再次向用戶重申:絕對不要與任何人分享 24 個英文單字組成的「助
記詞」(recovery phase);Ledger 團隊永遠不會要求用戶提供備份短語,也不會以文
字簡訊或是電話聯繫。
在 Ledger 數據庫遭駭消息傳出之後,已有多名用戶表示自己已成為網路釣魚攻擊目標;
其中部分用戶收了到類似官方發出的釣魚信件,被要求下載新版本加密錢包軟體。
https://twitter.com/haveibeenpwned/status/1340770769106731008
Ledger 恐面臨用戶集體提告
今年五月底,Ledger 和另外兩間大型加密錢包服務商 Trezor、KeepKey 就已傳出用戶數
據資料遭駭,當時據稱是電商巨頭 Shopify 系統漏洞所導致。
Ledger 也於今年七月底發表文章,坦言確實遭駭客入侵,並有近 100 萬名個資遭竊取。
許多用戶認為,就是因為 Ledger 團隊當時沒有積極處理,導致現在情況失控,因此相當
的不滿。
其中,推特用戶 Ryan Olah 更於 Ledger 推文下留言回應,直言若有律師考慮提集體訴
訟,會有很多人舉雙手贊成。他憂心表示:「現在情況已經惡化一萬倍了」。
https://twitter.com/Ledger/status/1340769565639233536
評論:
https://i.imgur.com/sBpBLE2.png
已經有人收到恐嚇信了,之前有購買過ledger硬體錢包的人
要注意可能會有恐嚇信或釣魚郵件
--
https://www.blocktempo.com/hacker-dumped-ledger-user-database-on-radiforums/
Ledger爆資安危機!駭客網站公開超過27,000名客戶隱私訊息,源自6月數據洩漏事件
今日凌晨,Ledger 冷錢包被爆出有大量用戶個資被分享於「突襲論壇」(RaidForums)
上。Ledger 團隊隨後也證實此事為真。從初步跡象來看,個資有可能來自於 Ledger 六
月份遭洩露的內部電商數據庫內容,目前粗估有超過 100 萬名用戶受到波及。
今(21)日凌晨,網路安全公司 Hudson Rock 資訊長阿隆・加爾(Alon Gal)在推特發
文表示,在駭客網站「突襲論壇」(RaidForums)上,有大量的冷錢包服務供應商
Ledger 的用戶數據可供人「免費下載」。
初步統計,有超過 100 萬名用戶郵件帳號,以及 27 萬名買家的購買細節、手機號碼、
郵件帳號、居住地址遭公開。雖然 Ledger 官方尚未清楚說明,但遭洩漏的用戶個資很有
可能來自於今年 6 月底遭駭客流出的 Ledger 內部電商數據。
https://twitter.com/UnderTheBreach/status/1340728236528033797
加爾接著指出,由於 Ledger 買家通常是高淨值加密資產人士,個資遭洩漏可能將這些人
士暴露於多重風險,除了可能的郵件騷擾外,人身安全亦將面臨極大威脅。
Ledger 在稍後間接證實了加爾說法,並在推特上回應,根據目前初步判斷,遭洩露的數
據很有可能是來自 Ledger 今年 6 月份的電商數據資料庫;外媒《Coindesk》專欄作家
Nic Carter 則在推特上更新,確認部分遭洩漏個資有來自 2019 年以前的用戶數據。
https://twitter.com/Ledger/status/1340769565639233536
除了向用戶深表遺憾,Ledger 也已經通知法國數據保護機構(CNIL),並正在與世界各
地的數據保護機構合作;若用戶擔心遭受釣魚郵件攻擊,可以去 Ledger 網站查證最新的
釣魚攻擊以避免上當。
Ledger 市場營銷副總裁佩萊沃金(Benoit Pellevoizin)稍早向《Decrypt》表示,洩露
的信息可能會被用於網絡釣魚攻擊,企圖誘騙 Ledger 客戶交出其私鑰。
佩萊沃金表示:
基本上,透過電子郵件,他們可以假冒 Ledger 官方,要求用戶輸入「助記詞」,獲取錢
包權限,但 Ledger 官方從不會要求用戶這樣做。
最後,Ledger 團隊再次向用戶重申:絕對不要與任何人分享 24 個英文單字組成的「助
記詞」(recovery phase);Ledger 團隊永遠不會要求用戶提供備份短語,也不會以文
字簡訊或是電話聯繫。
在 Ledger 數據庫遭駭消息傳出之後,已有多名用戶表示自己已成為網路釣魚攻擊目標;
其中部分用戶收了到類似官方發出的釣魚信件,被要求下載新版本加密錢包軟體。
https://twitter.com/haveibeenpwned/status/1340770769106731008
Ledger 恐面臨用戶集體提告
今年五月底,Ledger 和另外兩間大型加密錢包服務商 Trezor、KeepKey 就已傳出用戶數
據資料遭駭,當時據稱是電商巨頭 Shopify 系統漏洞所導致。
Ledger 也於今年七月底發表文章,坦言確實遭駭客入侵,並有近 100 萬名個資遭竊取。
許多用戶認為,就是因為 Ledger 團隊當時沒有積極處理,導致現在情況失控,因此相當
的不滿。
其中,推特用戶 Ryan Olah 更於 Ledger 推文下留言回應,直言若有律師考慮提集體訴
訟,會有很多人舉雙手贊成。他憂心表示:「現在情況已經惡化一萬倍了」。
https://twitter.com/Ledger/status/1340769565639233536
評論:
https://i.imgur.com/sBpBLE2.png
已經有人收到恐嚇信了,之前有購買過ledger硬體錢包的人
要注意可能會有恐嚇信或釣魚郵件
--
All Comments