文/Robin


2020 年 12 月 21 日,包含 27 万多个 Ledger 客户个人信息的数据库在 RaidForums 上泄漏,这些被泄露的信息包括 Ledger 硬件钱包购买者的电子邮件、实际地址和电话号码。RaidForums 是一个买卖、共享和共享被黑信息的市场。此次被泄漏的 Ledger 信息是由今年 6 月遭受数据泄露导致。

在 7 月 29 日,笔者写了一篇文章,「知名硬件钱包 Ledger 数据泄漏」,提到泄漏的数据包含 100 万的电子邮件地址,其中 9500 个客户的订单详情(客户的姓名、邮寄地址、邮件地址、电话号码、购买的产品型号)泄漏。但是 RaidForums 公布的数据,邮件数 1,075,382,基本和 100 万对得上。订单详情是 272,853,也就是 27 万,远超 Ledger 自己公布的 9500。

RaidForums 泄漏的数据,真实性还是较高的。从 6 月数据泄漏后,这部分数据早就在暗网之类的交易了。在公开之前,影响可能没那么大,但是 RaidForums 一公开,这影响就大了。目前 RaidForums 公开的数据,需要 8 个 credits 就可以下载,不能说是免费,但是获取的成本确实比较低,目前有 1601 个用户解锁了。这 1601 个用户再二次传播,然后其他用户再 N 次传播,意味着有这个泄漏数据的受众就太多了。

Ledger 泄漏的用户数据,虽然不能直接导致 Ledger 硬件钱包的安全风险,但是间接问题就太多了。要知道能使用 Ledger 的用户,基本上都是加密货币圈子的高阶用户了,黑客或者不法分子去做一些诈骗,这些用户数据简直是太精准了。这些用户数据,黑客或者不法分子会想方设法的制作各种钓鱼邮件、木马、甚至病毒,用户一旦中招,那就存在相当大的安全风险了。要知道 Nexus Mutual 创始人被攻击,他也是使用的硬件钱包,然后被黑客盯上的。

泄漏的邮件地址已经造成很大的风险了,但是 27 万的客户信息,除了邮件,还有姓名、电话、住址,如果不法分子使用一些社工手段,对用户进行线下的攻击,人身安全都存在风险,想想真是太可怕了。链闻还发布了一篇文章,「翻遍 27 万条 Ledger 用户信息,我得到了最硬核的加密货币用户画像」,这还只是简单的数据分析,专业的黑客拿到这些数据,肯定可以分析出更多信息,然后做出更多的行动。

Ledger CEO Pascal Gauthier 也给用户发了封长长的邮件,大意是说「将不会对遭到数据泄露的用户提供补偿,这只会扼杀公司,相反,我们更愿意着眼于未来。Ledger 现在正在做的事情是投入大量时间和金钱来构建更安全的产品」。Ledger 花费数年功夫构建的商业帝国,信任就这样被打破了,至少笔者看到不少反馈说要放弃 Ledger,Trezor 默默地成为最大的赢家。Ledger 挺赚钱的,其实完全可以不永久存储用户的订单信息。不过商业公司,拿用户做 EDM 总是免不了的。Ledger 可以不做营销,但是不做营销,也不是现在的 Ledger 吧。

从笔者的经验来看,目前已经收到多封谎称 Ledger 的邮件了,基本上都是要你输入助记词。未来这一类的钓鱼邮件还相当多,总之记住不要把助记词给别人,也不要乱点链接。Ledger 常用的邮件地址是 [email protected],官网是 www.ledger.com。此外,使用 macOS 的话,建议安装 AdGuard 和 Little Snitch,关于这两款软件的使用技巧,后续笔者会介绍。

安全警钟长鸣。


我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的微信: Wentasy


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。


本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。


–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)