新闻来源连结： https://www.blocktempo.com/hacker-dumped-ledger-user-database-on-radiforums/ Ledger爆资安危机！骇客网站公开超过27,000名客户隐私讯息，源自6月数据泄漏事件 今日凌晨，Ledger 冷钱包被爆出有大量用户个资被分享於「突袭论坛」（RaidForums） 上。Ledger 团队随後也证实此事为真。从初步迹象来看，个资有可能来自於 Ledger 六 月份遭泄露的内部电商数据库内容，目前粗估有超过 100 万名用户受到波及。 今（21）日凌晨，网路安全公司 Hudson Rock 资讯长阿隆・加尔（Alon Gal）在推特发 文表示，在骇客网站「突袭论坛」（RaidForums）上，有大量的冷钱包服务供应商 Ledger 的用户数据可供人「免费下载」。 初步统计，有超过 100 万名用户邮件帐号，以及 27 万名买家的购买细节、手机号码、 邮件帐号、居住地址遭公开。虽然 Ledger 官方尚未清楚说明，但遭泄漏的用户个资很有 可能来自於今年 6 月底遭骇客流出的 Ledger 内部电商数据。 https://twitter.com/UnderTheBreach/status/1340728236528033797 加尔接着指出，由於 Ledger 买家通常是高净值加密资产人士，个资遭泄漏可能将这些人 士暴露於多重风险，除了可能的邮件骚扰外，人身安全亦将面临极大威胁。 Ledger 在稍後间接证实了加尔说法，并在推特上回应，根据目前初步判断，遭泄露的数 据很有可能是来自 Ledger 今年 6 月份的电商数据资料库；外媒《Coindesk》专栏作家 Nic Carter 则在推特上更新，确认部分遭泄漏个资有来自 2019 年以前的用户数据。 https://twitter.com/Ledger/status/1340769565639233536 除了向用户深表遗憾，Ledger 也已经通知法国数据保护机构（CNIL），并正在与世界各 地的数据保护机构合作；若用户担心遭受钓鱼邮件攻击，可以去 Ledger 网站查证最新的 钓鱼攻击以避免上当。 Ledger 市场营销副总裁佩莱沃金（Benoit Pellevoizin）稍早向《Decrypt》表示，泄露 的信息可能会被用於网络钓鱼攻击，企图诱骗 Ledger 客户交出其私钥。 佩莱沃金表示： 基本上，透过电子邮件，他们可以假冒 Ledger 官方，要求用户输入「助记词」，获取钱 包权限，但 Ledger 官方从不会要求用户这样做。 最後，Ledger 团队再次向用户重申：绝对不要与任何人分享 24 个英文单字组成的「助 记词」（recovery phase）；Ledger 团队永远不会要求用户提供备份短语，也不会以文 字简讯或是电话联系。 在 Ledger 数据库遭骇消息传出之後，已有多名用户表示自己已成为网路钓鱼攻击目标； 其中部分用户收了到类似官方发出的钓鱼信件，被要求下载新版本加密钱包软体。 https://twitter.com/haveibeenpwned/status/1340770769106731008 Ledger 恐面临用户集体提告 今年五月底，Ledger 和另外两间大型加密钱包服务商 Trezor、KeepKey 就已传出用户数 据资料遭骇，当时据称是电商巨头 Shopify 系统漏洞所导致。 Ledger 也於今年七月底发表文章，坦言确实遭骇客入侵，并有近 100 万名个资遭窃取。 许多用户认为，就是因为 Ledger 团队当时没有积极处理，导致现在情况失控，因此相当 的不满。 其中，推特用户 Ryan Olah 更於 Ledger 推文下留言回应，直言若有律师考虑提集体诉 讼，会有很多人举双手赞成。他忧心表示：「现在情况已经恶化一万倍了」。 https://twitter.com/Ledger/status/1340769565639233536 评论： https://i.imgur.com/sBpBLE2.png 已经有人收到恐吓信了，之前有购买过ledger硬体钱包的人 要注意可能会有恐吓信或钓鱼邮件 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.237.81.208 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1608562363.A.114.html ※ 编辑: DarkerDuck (36.237.81.208 台湾), 12/21/2020 22:54:12