知名硬件钱包 Ledger 数据泄漏

Image for post
Image for post

知名硬件钱包 Ledger 今天发布 公告 ,宣称电子商务和营销数据泄露,但是支付信息、加密资产是安全的。

事件经过是怎么样的呢?一位安全研究员在 Ledger 的 bounty program 提醒 Ledger 潜在的网站数据泄漏。在 2020 年 7 月 25 日,Ledger 的数据库存在未授权访问,导致数据泄漏。泄漏的数据包括电子商务和营销数据,具体的数据是客户的邮件地址、订单详情(客户的姓名、邮寄地址、邮件地址、电话号码)。至于数据库的未授权访问是怎么样实现的呢?Ledger 的公告宣称是利用了 API Key,目前这个 API Key 已经失效。

此次安全事故具体涉及到多少数据呢?大概 100 万的电子邮件地址,其中 9500 个客户的订单详情(客户的姓名、邮寄地址、邮件地址、电话号码、购买的产品型号)泄漏。Ledger 随后通知了 CNIL,然后和 Orange Cyberdefense 合作研究这些数据的潜在威胁。最后 Ledger 提醒用户警惕恶意诈骗者的钓鱼。最简单的一点,Ledger 不会主动向您请求提供 24 个单词的助记词。

Ledger 是笔者有且唯一在使用的硬件钱包产品,出了安全事故自然多关注些。毕竟 100 万的邮件地址泄漏,还不知道恶意诈骗者会利用这些 Email 做些什么勾当。Ledger 这样的态度,对于用户而言总是好的,勇于承认错误以及付诸行动,并且真诚地道歉,而且公开地向用户做出提醒。

Ledger 是少数真正开源,而且产品体验优秀的硬件钱包产品。如果您也在用 Ledger,希望您看到这篇文章后,有所警惕。在收到宣称来自 Ledger 团队的邮件时,多留点心。Ledger 常用的邮件地址是 [email protected] ,官网是 www.ledger.com。

我是区块链罗宾,博客 dbarobin.com
如果您想和我交流,我的微信: Wentasy

Image for post
Image for post

本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。

币安注册: https://www.binancezh.com/cn/register/?ref=11190872
邀请码:
11190872

-EOF-

版权声明: 自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)

Originally published at https://dbarobin.com.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store