新聞來源連結： https://www.blocktempo.com/hacker-dumped-ledger-user-database-on-radiforums/ Ledger爆資安危機！駭客網站公開超過27,000名客戶隱私訊息，源自6月數據洩漏事件 今日凌晨，Ledger 冷錢包被爆出有大量用戶個資被分享於「突襲論壇」（RaidForums） 上。Ledger 團隊隨後也證實此事為真。從初步跡象來看，個資有可能來自於 Ledger 六 月份遭洩露的內部電商數據庫內容，目前粗估有超過 100 萬名用戶受到波及。 今（21）日凌晨，網路安全公司 Hudson Rock 資訊長阿隆・加爾（Alon Gal）在推特發 文表示，在駭客網站「突襲論壇」（RaidForums）上，有大量的冷錢包服務供應商 Ledger 的用戶數據可供人「免費下載」。 初步統計，有超過 100 萬名用戶郵件帳號，以及 27 萬名買家的購買細節、手機號碼、 郵件帳號、居住地址遭公開。雖然 Ledger 官方尚未清楚說明，但遭洩漏的用戶個資很有 可能來自於今年 6 月底遭駭客流出的 Ledger 內部電商數據。 https://twitter.com/UnderTheBreach/status/1340728236528033797 加爾接著指出，由於 Ledger 買家通常是高淨值加密資產人士，個資遭洩漏可能將這些人 士暴露於多重風險，除了可能的郵件騷擾外，人身安全亦將面臨極大威脅。 Ledger 在稍後間接證實了加爾說法，並在推特上回應，根據目前初步判斷，遭洩露的數 據很有可能是來自 Ledger 今年 6 月份的電商數據資料庫；外媒《Coindesk》專欄作家 Nic Carter 則在推特上更新，確認部分遭洩漏個資有來自 2019 年以前的用戶數據。 https://twitter.com/Ledger/status/1340769565639233536 除了向用戶深表遺憾，Ledger 也已經通知法國數據保護機構（CNIL），並正在與世界各 地的數據保護機構合作；若用戶擔心遭受釣魚郵件攻擊，可以去 Ledger 網站查證最新的 釣魚攻擊以避免上當。 Ledger 市場營銷副總裁佩萊沃金（Benoit Pellevoizin）稍早向《Decrypt》表示，洩露 的信息可能會被用於網絡釣魚攻擊，企圖誘騙 Ledger 客戶交出其私鑰。 佩萊沃金表示： 基本上，透過電子郵件，他們可以假冒 Ledger 官方，要求用戶輸入「助記詞」，獲取錢 包權限，但 Ledger 官方從不會要求用戶這樣做。 最後，Ledger 團隊再次向用戶重申：絕對不要與任何人分享 24 個英文單字組成的「助 記詞」（recovery phase）；Ledger 團隊永遠不會要求用戶提供備份短語，也不會以文 字簡訊或是電話聯繫。 在 Ledger 數據庫遭駭消息傳出之後，已有多名用戶表示自己已成為網路釣魚攻擊目標； 其中部分用戶收了到類似官方發出的釣魚信件，被要求下載新版本加密錢包軟體。 https://twitter.com/haveibeenpwned/status/1340770769106731008 Ledger 恐面臨用戶集體提告 今年五月底，Ledger 和另外兩間大型加密錢包服務商 Trezor、KeepKey 就已傳出用戶數 據資料遭駭，當時據稱是電商巨頭 Shopify 系統漏洞所導致。 Ledger 也於今年七月底發表文章，坦言確實遭駭客入侵，並有近 100 萬名個資遭竊取。 許多用戶認為，就是因為 Ledger 團隊當時沒有積極處理，導致現在情況失控，因此相當 的不滿。 其中，推特用戶 Ryan Olah 更於 Ledger 推文下留言回應，直言若有律師考慮提集體訴 訟，會有很多人舉雙手贊成。他憂心表示：「現在情況已經惡化一萬倍了」。 https://twitter.com/Ledger/status/1340769565639233536 評論： https://i.imgur.com/sBpBLE2.png 已經有人收到恐嚇信了，之前有購買過ledger硬體錢包的人 要注意可能會有恐嚇信或釣魚郵件 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.237.81.208 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1608562363.A.114.html ※ 編輯: DarkerDuck (36.237.81.208 臺灣), 12/21/2020 22:54:12