LED:泄露數十萬用戶信息，硬件錢包Ledger遭遇信任危機

用你的錢包投票。

Ledger已經失去了用戶的信任。

7月份泄露的客戶信息，早已提供給那些愿意付出代價的人，而現在，這些信息是免費的。

昨晚，有人在raidforums上發布了Ledger的272853名客戶及1075382名電子郵件用戶的名單及信息，這讓一些論壇用戶感到沮喪。

2020年7月，一名研究人員在參與Ledger漏洞懸賞計劃時，發現了一個潛在的攻擊向量，后來，人們發現這一攻擊向量已被利用。隨后，Ledger宣布稱其網站遭到了攻擊：

騰訊基于區塊鏈身份認證專利獲授權 可避免個人信息泄露:金色財經消息，天眼查App顯示，近日，騰訊科技（深圳）有限公司申請的“基于區塊鏈的身份認證方法、裝置、存儲介質和設備”專利獲授權。

摘要顯示，本方法包括：接收用戶的服務請求，根據服務請求得到用戶的授權信息，從區塊鏈中搜索與授權信息對應的目標區塊，從目標區塊中獲取與授權信息對應用戶的注冊數據，當授權校驗通過時，調用服務請求對應的智能合約，由智能合約執行聲明的身份認證邏輯，基于注冊數據得到身份認證結果，反饋身份認證結果。本申請中，對于服務提供方來說，不會直接接觸到用戶的身份信息，只有在用戶授權的前提下，才能得到或使用區塊鏈反饋的身份認證結果，對用戶來說，可以避免用戶直接向商家提供身份信息，從源頭上避免了用戶個人信息泄露的問題。[2022/8/26 12:50:57]

“未經授權的第三方通過API密鑰訪問了我們的電子商務和市場數據庫的一部分。”根據報道稱，泄露的數據信息以近六位數的價格被出售了，這證明了這些個人信息的價值，而無論是誰在支付這些信息，他們都是為了從中獲利。

電子郵件自動化工具Klaviyo遭入侵，44家加密相關公司受到數據泄露影響:8月11日消息，電子郵件營銷自動化工具Klaviyo表示因其一位員工遭到釣魚攻擊，導致其內部系統遭到入侵，在得知這一事件后，Klaviyo撤銷了受影響用戶的訪問權限，并從系統中移除攻擊者。比特幣儲蓄公司Swan Bitcoin表示，其也受到了此事件的影響。

Klaviyo稱，目前還在調查中，已知的是，攻擊者使用內部客戶支持工具主要搜索與加密貨幣相關的賬戶，并查看了44個Klaviyo賬戶（44家加密相關公司）的列表和細分信息。攻擊者還查看并下載了Klaviyo用于產品和營銷更新的兩個內部列表。這些導出包括姓名、地址、電子郵件地址和電話號碼等信息，不過未包括任何密碼、密碼哈希或信用卡號碼。[2022/8/11 12:19:18]

由于這些信息現在可自由訪問，有用戶報告稱，網絡釣魚的嘗試增加了。而在接下來的幾個月里，我們預計這種行為將繼續增長，因此，如果聽說有人因為這種數據泄露而遭到物理攻擊，也就不足為奇了。

阿貍NFT回應元數據泄露：已泄露的元數據將全部重新打亂:2 月 16 日，阿貍 ALI&HIS FRENS NFT 針對此前元數據泄露問題在 Discord 社區發布回應稱，目前 ALI&HIS FRENS NFT 正在積極整改網站，并將此前泄露的元數據全部打亂，重新排列 NFT 稀有度。[2022/2/16 9:55:06]

最壞的情況下，泄露的個人信息可能會導致物理攻擊或入室盜竊。

最初，Ledger告訴我們，已被公開數據的用戶數有9500名，其中包括他們的姓名、郵政地址以及電話號碼。現在，我們發現這個數字實際接近了227,000。

加密投資基金遭遇黑客攻擊 26.6萬名用戶數據被泄露:一家加密投資基金Trident Crypto Fund遭遇重大數據泄露，這是加密貨幣領域遭遇的最新一起隱私泄露事件。網絡安全公司DeviceLock的首席技術官Ashot Oganesyan表示，在該基金注冊的約26.6萬人的個人數據在該事件發生后被發布在多個文件共享網站上。Oganesyan說，被盜的數據庫包括電子郵件地址、手機號碼、加密密碼和IP地址，在2月20日發布在網上，同時還公布了網站的漏洞描述，這使得這次攻擊成為可能。他補充說，3月3日，不知名的黑客解密并公布了12萬個加密的數據集。該俄羅斯媒體聯系了數據庫中的一位用戶，他證實自己與Trident Crypto Fund有關聯，不過他只注冊了該公司主辦的一個研討會，沒有投資。該基金沒有在網站上列出其團隊成員，也沒有在LinkedIn上露面。目前還不清楚該基金的注冊地或具體位置。（Coindesk）[2020/3/5]

Ledger是否故意掩蓋了事件的嚴重性？

我們采訪了Ledger的代表，其提供了以下聲明：

我們仍在調查這一持續存在的問題，泄露的內容可能是Ledger的電子商務數據庫，該數據庫在2020年6月份時遭到泄露。詐騙者可能使用此數據庫通過電子郵件和短信活動來進行網絡釣魚攻擊。我們的客戶支持團隊一直在努力通過Twitter通知用戶，并回答問題，同時還報告包含數據庫鏈接的所有推文和Reddit帖子。我們敦促所有用戶不要分享他們的助記詞，并且要記住，團隊不會要求用戶提供私人信息。自2020年6月發現數據泄露事件以來，我們與外部安全組織合作進行了取證審查。這次審查確認，只有9500名個人受到影響，Ledger支持人員親自聯系了所有受影響的用戶。自網絡釣魚攻擊開始發生以來，我們預計會有更多信息泄漏，并繼續通過Twitter和電子郵件通知所有用戶。我們正在竭盡全力阻止這些攻擊并避免將來發生這種情況。Ledger采取了一系列措施來保護我們的用戶，使其免受淪為網絡釣魚攻擊的受害者。我們已經建立了一個網頁，共享網絡釣魚攻擊的解剖結構，以便用戶避免掉入網絡釣魚并報告任何新的攻擊：https://www.ledger.com/phishing-campaigns-status對于這種情況，我們深表遺憾，我們的團隊正在努力制止詐騙者，并恢復社區對我們的信任。我們從一開始就對這一問題持開放和透明的態度，并將在信息發布后繼續響應任何新的發展。我們正在繼續分析這些數據，并將繼續提供更新。

第三方存儲用戶信息的問題

這種情況顯示了依賴第三方來存儲我們的信息的問題。

隨著Web3.0的發展，Web2.0的問題變得越來越明顯。線下公司的強制遵守減慢了我們的進度，并使我們的信息處于危險之中。

盡管存在已知的集中存儲風險，我們仍被迫將我們的數據委托給這些公司。像Ledger這樣的公司仍在舊世界與新世界之間掙扎，其無法或者不愿意實施零知識證明這樣的技術來保護他們的數據庫。

不僅僅是犯罪世界熱衷于查看這些信息，在歐洲，已經有一些案例表明，一些官員購買了瑞士銀行客戶的數據，以幫助他們進行稅務欺詐調查。

GDPR的嚴格框架被這一數據泄露所抹殺。要求刪除數據的客戶似乎被忽視了，甚至被欺騙了。

有一位Ledger客戶這樣告訴我們：

在2020年5月份，我給他們發了一封電子郵件，要求他們從多個訂單中刪除關于我的任何數據。我在郵件中引用了GDPR，他們回答說：“謝謝你聯系我們，我們會盡快完成的。”隨著這次信息泄露，我進行了交叉檢查，發現自己的大量數據都被泄露了Ledger應確保在設定的時間后自動刪除個人數據。

是Ledger不稱職，忽視了這些要求，還是其不夠誠實？

這些現在都已經不重要了，發生的一切都無法改變。

數據泄露沒有治愈方法，唯一的解決辦法就是預防。

Tags：DGEEDGEEDGLEDHedge Tech Governanceledger錢包無法同步ledger錢包硬件壞了怎么辦ledger錢包支持usdt么

Ethereum