知名硬件钱包 Ledger 数据泄漏

知名硬件钱包 Ledger 今天发布 公告 ,宣称电子商务和营销数据泄露,但是支付信息、加密资产是安全的。

事件经过是怎么样的呢?一位安全研究员在 Ledger 的 bounty program 提醒 Ledger 潜在的网站数据泄漏。在 2020 年 7 月 25 日,Ledger 的数据库存在未授权访问,导致数据泄漏。泄漏的数据包括电子商务和营销数据,具体的数据是客户的邮件地址、订单详情(客户的姓名、邮寄地址、邮件地址、电话号码)。至于数据库的未授权访问是怎么样实现的呢?Ledger 的公告宣称是利用了 API Key,目前这个 API Key 已经失效。

此次安全事故具体涉及到多少数据呢?大概 100 万的电子邮件地址,其中 9500 个客户的订单详情(客户的姓名、邮寄地址、邮件地址、电话号码、购买的产品型号)泄漏。Ledger 随后通知了 CNIL,然后和 Orange Cyberdefense…