Ledger爆資安危機！駭客網站公開隱私訊息 - 數位貨幣

新聞來源連結：
https://www.blocktempo.com/hacker-dumped-ledger-user-database-on-radiforums/

Ledger爆資安危機！駭客網站公開超過27,000名客戶隱私訊息，源自6月數據洩漏事件

今日凌晨，Ledger 冷錢包被爆出有大量用戶個資被分享於「突襲論壇」（RaidForums）
上。Ledger 團隊隨後也證實此事為真。從初步跡象來看，個資有可能來自於 Ledger 六
月份遭洩露的內部電商數據庫內容，目前粗估有超過 100 萬名用戶受到波及。

今（21）日凌晨，網路安全公司 Hudson Rock 資訊長阿隆・加爾（Alon Gal）在推特發
文表示，在駭客網站「突襲論壇」（RaidForums）上，有大量的冷錢包服務供應商
Ledger 的用戶數據可供人「免費下載」。

初步統計，有超過 100 萬名用戶郵件帳號，以及 27 萬名買家的購買細節、手機號碼、
郵件帳號、居住地址遭公開。雖然 Ledger 官方尚未清楚說明，但遭洩漏的用戶個資很有
可能來自於今年 6 月底遭駭客流出的 Ledger 內部電商數據。

https://twitter.com/UnderTheBreach/status/1340728236528033797

加爾接著指出，由於 Ledger 買家通常是高淨值加密資產人士，個資遭洩漏可能將這些人
士暴露於多重風險，除了可能的郵件騷擾外，人身安全亦將面臨極大威脅。

Ledger 在稍後間接證實了加爾說法，並在推特上回應，根據目前初步判斷，遭洩露的數
據很有可能是來自 Ledger 今年 6 月份的電商數據資料庫；外媒《Coindesk》專欄作家
Nic Carter 則在推特上更新，確認部分遭洩漏個資有來自 2019 年以前的用戶數據。

https://twitter.com/Ledger/status/1340769565639233536

除了向用戶深表遺憾，Ledger 也已經通知法國數據保護機構（CNIL），並正在與世界各
地的數據保護機構合作；若用戶擔心遭受釣魚郵件攻擊，可以去 Ledger 網站查證最新的
釣魚攻擊以避免上當。

Ledger 市場營銷副總裁佩萊沃金（Benoit Pellevoizin）稍早向《Decrypt》表示，洩露
的信息可能會被用於網絡釣魚攻擊，企圖誘騙 Ledger 客戶交出其私鑰。

佩萊沃金表示：

基本上，透過電子郵件，他們可以假冒 Ledger 官方，要求用戶輸入「助記詞」，獲取錢
包權限，但 Ledger 官方從不會要求用戶這樣做。

最後，Ledger 團隊再次向用戶重申：絕對不要與任何人分享 24 個英文單字組成的「助
記詞」（recovery phase）；Ledger 團隊永遠不會要求用戶提供備份短語，也不會以文
字簡訊或是電話聯繫。

在 Ledger 數據庫遭駭消息傳出之後，已有多名用戶表示自己已成為網路釣魚攻擊目標；
其中部分用戶收了到類似官方發出的釣魚信件，被要求下載新版本加密錢包軟體。

https://twitter.com/haveibeenpwned/status/1340770769106731008

Ledger 恐面臨用戶集體提告
今年五月底，Ledger 和另外兩間大型加密錢包服務商 Trezor、KeepKey 就已傳出用戶數
據資料遭駭，當時據稱是電商巨頭 Shopify 系統漏洞所導致。

Ledger 也於今年七月底發表文章，坦言確實遭駭客入侵，並有近 100 萬名個資遭竊取。
許多用戶認為，就是因為 Ledger 團隊當時沒有積極處理，導致現在情況失控，因此相當
的不滿。

其中，推特用戶 Ryan Olah 更於 Ledger 推文下留言回應，直言若有律師考慮提集體訴
訟，會有很多人舉雙手贊成。他憂心表示：「現在情況已經惡化一萬倍了」。

https://twitter.com/Ledger/status/1340769565639233536

評論：

https://i.imgur.com/sBpBLE2.png

已經有人收到恐嚇信了，之前有購買過ledger硬體錢包的人

要注意可能會有恐嚇信或釣魚郵件

--