一个“简单的错误”暴露了27万个加密货币钱包买家

这位可能对7月Ledger的安全漏洞负责的黑客最近丢弃了大量数据，泄露了超过270,000位客户的个人信息，包括电话号码和实际地址。 泄漏还包括Ledger钱包所有者和客户的100万封电子邮件，这些电子邮件已签署了公司的新闻通讯服务。

在事件引起的轰动中，莱杰表示，其重点是改善安全基础设施，而不是向用户赔偿可能发生的任何损失。 同时，据报道，一些受影响的客户正在考虑以集体诉讼的形式对公司采取法律行动。

Ledger客户数据泄漏还为反对实施更多的“了解您的客户”合规性协议的辩论提供了新的提要，批评者认为，此类措施鼓励针对性的网络攻击，旨在暴露关键的个人数据。

超过270,000个个人帐户详细信息被盗

如前所述，大概是7月份负责破坏Ledger电子商务数据库的黑客在网上转储了数千名受影响用户的个人信息。 该公司被指责为社交媒体未提供更好的用户数据保护，并轻视了最初的违规程度。 当时，这家硬件钱包制造商宣布只有9500名客户受到安全漏洞的影响。

针对报告的受影响人数之间的差异，莱杰于12月21日发表声明，宣布该泄漏所涉及的物质超过了今年早些时候能够分析的范围。 但是，该公司确认客户资金仍然安全，并补充说：“此数据泄露与我们的硬件钱包，应用程序或您的资金没有任何联系，也没有影响。 您的加密资产是安全的。 尽管这确实非常令人遗憾，但该漏洞仅涉及与电子商务相关的信息。”

Ledger首席执行官Pascal Gauthier通过Twitter回应此事件，并指出泄漏事件表明网络攻击的威胁在不断增加。 高迪耶（Gauthier）在与彼得·麦考马克（Peter McCormack）一起发表的《比特币做了什么》播客中，评论了该漏洞的性质，并指出这是该公司电子商务堆栈错误的结果。

“这是错误的API密钥，在地图客户端上进行了编码，无法从编码位置错误的商店中导入数据库，因此，在不应该进行编码的地方进行了编码，并使数据库容易受到攻击， ”高迪尔解释道。

在对泄漏的反应中，一些网络安全专家强调指出，该事件是数据库管理员在存储用户数据时缺乏加密部署的又一个指针。 Ledger首席执行官解决了API密钥缺乏加密的问题，并补充说这是一个诚实的错误，而不是通过未能对API密钥进行哈希处理而故意危害客户安全的尝试。

硬件钱包制造商NGRAVE的首席执行官Ruben Merre在评论泄漏时指出，此事件反映出加密公司的快速增长是以牺牲安全性为代价的。 他补充说：“如此多的在线平台被黑客入侵，并不一定是因为黑客的技能。 通常，平台的安全管理能力很差，更不用说实施了。”

“ Scareware”和其他风险因素

数据泄漏引发了另一轮网络钓鱼攻击，因为流氓演员（现在已经装有Ledger用户的电子邮件）试图诱骗钱包的客户泄露其24字种子短语。 甚至在数据转储之前，这类伪造的电子邮件就很常见。

但是，电话号码和个人地址的暴露可能会使Ledger用户面临更多的风险因素。 一些用户报告说，他们曾试图与黑客交换其号码上的SIM卡攻击，可能是想破坏两因素授权协议。

过去，加密货币投资者一直是SIM掉期攻击的目标。 早在6月份，Richard Yuan Li就涉嫌串谋以一系列针对20多个个人的SIM卡掉换攻击而进行电汇欺诈。

除了网络钓鱼和SIM交换漏洞利用外，数据泄漏还增加了风险因素从恐吓软件转移到实际物理攻击领域的可能性。 确实，受事件影响的一些用户声称收到了威胁性消息，要求付款或可能遭受房屋入侵。

Ledger首席执行官已经承认由于公司的监督而可能遭受物理攻击，并且还向用户保证其硬件钱包设备包含几种保护协议以防止资金被盗。 在这些安全措施中，包括使用错误的密码条目来格式化设备或使用第二个密码显示虚拟帐户，从而使所有者的实际资金不受不良行为的影响。

此外，社交媒体安全专家之间的共识是，消费者应该使用邮局信箱地址或其他公共取货地点，而不是他们的真实家庭住址来存放诸如Ledger硬钱包之类的敏感物品。 对于那些电话号码受损的人，最好的行动似乎是获得一个新号码，并使用一个新的电子邮件地址将更改告知重要联系人。

莱杰表示，尽管受影响的客户继续处理泄漏的后果，但它正在努力防止将来发生泄漏。 该公司在给Cointelegraph的声明中说：

“我们正在竭尽所能，以阻止这些攻击并避免将来发生这种情况。 Ledger采取了一系列措施来保护我们的用户，使其免受沦为网络钓鱼攻击的受害者。 我们已经建立了一个网页，共享网络钓鱼攻击的解剖结构，以便用户可以避免陷入网络钓鱼并报告任何新的攻击。”

受影响的用户威胁采取法律行动

在报告泄漏后，一些受影响的用户立即开始提倡对Ledger采取法律行动。 Reddit平台上甚至有一个“ Ledger钱包泄漏”子目录，用户在此讨论集体诉讼的可能方式。

莱杰的总部设在巴黎，属于欧盟法律之下。 11月，欧洲议会通过了立法修正案，将允许欧盟客户在未来两年内针对在该地区运营的公司提起集体诉讼。

根据当时的裁决，一旦通过法律，就涉及金融服务，旅游业和数据保护等案件的欧洲公司可以提起集体诉讼。

Ledger的欧盟客户将需要一个合格的消费者保护机构或其他认可的实体来代表投诉人。 但是，与美国法律不同，欧盟集体诉讼提起的惩罚性赔偿仅限于原告类别所造成的实际损失。

除了客户对公司提起诉讼外，在欧洲监管机构看来，尤其是根据《欧盟通用数据保护条例》，数据泄漏还可能构成侵犯隐私的行为。 在这种情况下，欧盟有能力对Ledger处以最高4％的收入罚款。

确实，由于莱杰（Ledger）首席执行官承认该公司对用户数据进行了不适当的匿名处理，因此该公司可能会受到欧盟官员的审查。 GDPR第26条要求所有公司确保从其存储或处理的数据缓存中完全删除所有可以识别用户的信息。

—-

原文链接：https://cointelegraph.com/news/ledger-data-leak-a-simple-mistake-exposed-270k-crypto-wallet-buyers

原文作者：Cointelegraph By Osato Avan-Nomayo

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。