今日凌晨,Ledger 冷錢包被爆出有大量用戶個資被分享於「突襲論壇」(RaidForums)上。Ledger 團隊隨後也證實此事為真。從初步跡象來看,個資有可能來自於 Ledger 六月份遭洩露的內部電商數據庫內容,目前粗估有超過 100 萬名用戶受到波及。
(前情提要:瑞波|冷錢包 Ledger 驚傳大規模釣魚攻擊,駭客已盜走「28 萬美元 — 115萬顆 XRP」)
今(21)日凌晨,網路安全公司 Hudson Rock 資訊長阿隆・加爾(Alon Gal)在推特發文表示,在駭客網站「突襲論壇」(RaidForums)上,有大量的冷錢包服務供應商 Ledger 的用戶數據可供人「免費下載」。
初步統計,有超過 100 萬名用戶郵件帳號,以及 27 萬名買家的購買細節、手機號碼、郵件帳號、居住地址遭公開。雖然 Ledger 官方尚未清楚說明,但遭洩漏的用戶個資很有可能來自於今年 6 月底遭駭客流出的 Ledger 內部電商數據。
https://twitter.com/UnderTheBreach/status/1340728236528033797?s=20
加爾接著指出,由於 Ledger 買家通常是高淨值加密資產人士,個資遭洩漏可能將這些人士暴露於多重風險,除了可能的郵件騷擾外,人身安全亦將面臨極大威脅。
Ledger 在稍後間接證實了加爾說法,並在推特上回應,根據目前初步判斷,遭洩露的數據很有可能是來自 Ledger 今年 6 月份的電商數據資料庫;外媒《Coindesk》專欄作家 Nic Carter 則在推特上更新,確認部分遭洩漏個資有來自 2019 年以前的用戶數據。
Today we were alerted to the dump of the contents of a Ledger customer database on Raidforum. We are still confirming, but early signs tell us that this indeed could be the contents of our e-commerce database from June, 2020.
— Ledger (@Ledger) December 20, 2020
除了向用戶深表遺憾,Ledger 也已經通知法國數據保護機構(CNIL),並正在與世界各地的數據保護機構合作;若用戶擔心遭受釣魚郵件攻擊,可以去 Ledger 網站查證最新的釣魚攻擊以避免上當。
Ledger 市場營銷副總裁佩萊沃金(Benoit Pellevoizin)稍早向《Decrypt》表示,洩露的信息可能會被用於網絡釣魚攻擊,企圖誘騙 Ledger 客戶交出其私鑰。
佩萊沃金表示:
基本上,透過電子郵件,他們可以假冒 Ledger 官方,要求用戶輸入「助記詞」,獲取錢包權限,但 Ledger 官方從不會要求用戶這樣做。
最後,Ledger 團隊再次向用戶重申:絕對不要與任何人分享 24 個英文單字組成的「助記詞」(recovery phase);Ledger 團隊永遠不會要求用戶提供備份短語,也不會以文字簡訊或是電話聯繫。
在 Ledger 數據庫遭駭消息傳出之後,已有多名用戶表示自己已成為網路釣魚攻擊目標;其中部分用戶收了到類似官方發出的釣魚信件,被要求下載新版本加密錢包軟體。
New breach: Ledger had over 1M email addresses breached in June, sold, then dumped publicly today. Data also included names, physical addresses and phone numbers. 69% were already in @haveibeenpwned. Read more: https://t.co/F44bBWzioQ
— Have I Been Pwned (@haveibeenpwned) December 20, 2020
Ledger 恐面臨用戶集體提告
今年五月底,Ledger 和另外兩間大型加密錢包服務商 Trezor、KeepKey 就已傳出用戶數據資料遭駭,當時據稱是電商巨頭 Shopify 系統漏洞所導致。
Ledger 也於今年七月底發表文章,坦言確實遭駭客入侵,並有近 100 萬名個資遭竊取。許多用戶認為,就是因為 Ledger 團隊當時沒有積極處理,導致現在情況失控,因此相當的不滿。
其中,推特用戶 Ryan Olah 更於 Ledger 推文下留言回應,直言若有律師考慮提集體訴訟,會有很多人舉雙手贊成。他憂心表示:「現在情況已經惡化一萬倍了」。
https://twitter.com/RyanOlah2/status/1340771949820166144?s=20
《Coindesk》專欄作家尼克・卡特(Nic Carter)也在推特中表示,數據遭洩漏後,用戶遭綁架機率將因此高出許多,除了請用戶小心自身安全以外,建議用戶先盡快更換手機號碼。
Nic Carter 的擔憂其來有自,過去曾有過多起加密貨幣商人遭綁架新聞,如今年 1 月,新加坡軟體開發商人鄭成全(Mark Cheng)就因持有加密貨幣而遭綁架,並被要求鄭以比特幣支付價值 46,000 萬美元贖金,所幸鄭後來成功脫逃,部分歹徒也遭當局逮補。
📍相關報導📍
嚴防詐騙!SpaceX 飛龍號發射成功,馬斯克要「送15億的比特幣」?這是推特常見的釣魚騙局
幣安懸賞570萬!助美國司法部緝捕「2018年釣魚攻擊」兩名俄羅斯嫌犯
駭客幽默?DeFi 保險 Nexus Mutual 創辦人「錢包被駭820萬美元」,可以理賠嗎?
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
