Ledger爆資安危機!駭客網站公開超過27,000名客戶隱私訊息,源自6月數據洩漏事件
今日凌晨,Ledger 冷錢包被爆出有大量用戶個資被分享於「突襲論壇」(RaidForums)上。Ledger 團隊隨後也證實此事為真。從初步跡象來看,個資有可能來自於 Ledger 六月份遭洩露的內部電商數據庫內容,目前粗估有超過 100 萬名用戶受到波及。
(前情提要:瑞波|冷錢包 Ledger 驚傳大規模釣魚攻擊,駭客已盜走「28 萬美元 — 115萬顆 XRP」)
今(21)日凌晨,網路安全公司 Hudson Rock 資訊長阿隆・加爾(Alon Gal)在推特發文表示,在駭客網站「突襲論壇」(RaidForums)上,有大量的冷錢包服務供應商 Ledger 的用戶數據可供人「免費下載」。
初步統計,有超過 100 萬名用戶郵件帳號,以及 27 萬名買家的購買細節、手機號碼、郵件帳號、居住地址遭公開。雖然 Ledger 官方尚未清楚說明,但遭洩漏的用戶個資很有可能來自於今年 6 月底遭駭客流出的 Ledger 內部電商數據。
ALERT: Threat actor just dumped @Ledger‘s database which have been circling around for the past few months.
The database contains information such as Emails, Physical Addresses, Phone numbers and more information on 272,000 Ledger buyers and Emails of 1,000,000 additional users. pic.twitter.com/Sv9cQwhuNy
— Alon Gal (Under the Breach) (@UnderTheBreach) December 20, 2020
加爾接著指出,由於 Ledger 買家通常是高淨值加密資產人士,個資遭洩漏可能將這些人士暴露於多重風險,除了可能的郵件騷擾外,人身安全亦將面臨極大威脅。
Ledger 在稍後間接證實了加爾說法,並在推特上回應,根據目前初步判斷,遭洩露的數據很有可能是來自 Ledger 今年 6 月份的電商數據資料庫;外媒《Coindesk》專欄作家 Nic Carter 則在推特上更新,確認部分遭洩漏個資有來自 2019 年以前的用戶數據。
Today we were alerted to the dump of the contents of a Ledger customer database on Raidforum. We are still confirming, but early signs tell us that this indeed could be the contents of our e-commerce database from June, 2020.
— Ledger (@Ledger) December 20, 2020
除了向用戶深表遺憾,Ledger 也已經通知法國數據保護機構(CNIL),並正在與世界各地的數據保護機構合作;若用戶擔心遭受釣魚郵件攻擊,可以去 Ledger 網站查證最新的釣魚攻擊以避免上當。
Ledger 市場營銷副總裁佩萊沃金(Benoit Pellevoizin)稍早向《Decrypt》表示,洩露的信息可能會被用於網絡釣魚攻擊,企圖誘騙 Ledger 客戶交出其私鑰。
佩萊沃金表示:
基本上,透過電子郵件,他們可以假冒 Ledger 官方,要求用戶輸入「助記詞」,獲取錢包權限,但 Ledger 官方從不會要求用戶這樣做。
最後,Ledger 團隊再次向用戶重申:絕對不要與任何人分享 24 個英文單字組成的「助記詞」(recovery phase);Ledger 團隊永遠不會要求用戶提供備份短語,也不會以文字簡訊或是電話聯繫。
在 Ledger 數據庫遭駭消息傳出之後,已有多名用戶表示自己已成為網路釣魚攻擊目標;其中部分用戶收了到類似官方發出的釣魚信件,被要求下載新版本加密錢包軟體。
New breach: Ledger had over 1M email addresses breached in June, sold, then dumped publicly today. Data also included names, physical addresses and phone numbers. 69% were already in @haveibeenpwned. Read more: https://t.co/F44bBWzioQ
— Have I Been Pwned (@haveibeenpwned) December 20, 2020
Ledger 恐面臨用戶集體提告
今年五月底,Ledger 和另外兩間大型加密錢包服務商 Trezor、KeepKey 就已傳出用戶數據資料遭駭,當時據稱是電商巨頭 Shopify 系統漏洞所導致。
Ledger 也於今年七月底發表文章,坦言確實遭駭客入侵,並有近 100 萬名個資遭竊取。許多用戶認為,就是因為 Ledger 團隊當時沒有積極處理,導致現在情況失控,因此相當的不滿。
其中,推特用戶 Ryan Olah 更於 Ledger 推文下留言回應,直言若有律師考慮提集體訴訟,會有很多人舉雙手贊成。他憂心表示:「現在情況已經惡化一萬倍了」。
If any lawyers want to start a class action suit, I’m sure many of us will jump on board. This has just gotten 10,000x worse now.
— Ryan Olah (@RyanOlah2) December 20, 2020
《Coindesk》專欄作家尼克・卡特(Nic Carter)也在推特中表示,數據遭洩漏後,用戶遭綁架機率將因此高出許多,除了請用戶小心自身安全以外,建議用戶先盡快更換手機號碼。
Nic Carter 的擔憂其來有自,過去曾有過多起加密貨幣商人遭綁架新聞,如今年 1 月,新加坡軟體開發商人鄭成全(Mark Cheng)就因持有加密貨幣而遭綁架,並被要求鄭以比特幣支付價值 46,000 萬美元贖金,所幸鄭後來成功脫逃,部分歹徒也遭當局逮補。
