泄露几十万用户信息，硬件钱包账本遭遇信任危机

A602A601

用你的钱包投票。

Ledger已失去用户信任。

7月份泄露的客户信息早就提供给那些愿意付出代价的人，但现在是免费的。

昨晚，raidforums上发布了27个2853个分类账客户和1075382个电子邮件用户的名单，这让一些论坛用户感到沮丧。

2020年7月，研究人员发现了一个潜在的攻击向量，同时参与分类帐漏洞奖励计划。后来发现，这种攻击向量已经被使用。随后，莱杰宣布其网站遭到攻击：

“未经授权的第三方可以通过API密钥访问我们的电子商务和营销数据库的一部分。”

据报道，泄露的数据以近6位数的价格出售，证明了这些个人信息的价值，无论是谁来买单，他们都试图从中获利。

由于这些信息现在可以自由访问，用户报告了钓鱼尝试的增加。我们预计这种行为在接下来的几个月内还会继续增长，因此听到有人因为数据泄漏而受到人身攻击也就不足为奇了。

在最坏的情况下，泄露个人信息可能导致人身攻击或**。

最初，莱杰告诉我们，有9500名用户的数据已经公开，包括他们的姓名、邮政地址和电话号码。现在，我们发现这个数字实际上接近22.7万。

莱杰故意掩盖事件的严重性吗？

我们采访了ledger的一位代表，他提供了以下声明：

我们仍在调查2020年5月
号电子商务数据库泄露的问题。欺诈者可以使用此数据库通过电子邮件和短信活动进行网络钓鱼攻击。
我们的客户支持团队一直试图通过Twitter通知用户并回答问题，同时报告所有包含数据库链接的tweet和reddit帖子。我们敦促所有用户不要分享他们的助记符，并记住团队不会要求用户提供个人信息。
自2020年6月发现数据泄漏以来，我们与外部安全组织合作进行了法医审查。这次审查确认只有9500人受到影响，账本支持人员亲自联系了所有受影响的用户。自从网络钓鱼攻击开始以来，我们希望有更多的信息泄露出去，并继续通过Twitter和电子邮件通知所有用户。我们正在尽我们所能阻止这些攻击，并在将来避免这种情况。Ledger已经采取了一系列措施来保护我们的用户不成为网络钓鱼攻击的受害者。我们创建了一个网页来分享网络钓鱼攻击的解剖结构，这样用户就可以避免陷入网络钓鱼并报告任何新的攻击：https://www.ledger.com/phishing-campaigns-status
我们对这种情况深感遗憾，我们的团队正在努力阻止欺诈者，恢复社会对我们的信任。在这个问题上，我们从一开始就公开透明，在消息公布后，我们将继续对任何新的事态发展作出回应。我们正在继续分析数据，并将继续提供更新。

用户信息的第三方存储

这种情况说明了依赖第三方存储我们的信息的问题。

随着Web3.0的发展，Web2.0的问题越来越突出。线下公司的强制性法规遵从性减慢了我们的进度，并使我们的信息处于风险之中。

我们知道，我们仍然有可能被迫中心化存储数据。像ledger这样的公司仍然在旧世界和新世界之间挣扎，无法或不愿实施零知识证明这样的技术来保护他们的数据库。

不仅犯罪世界热衷于查看这些信息，在欧洲，也有官员从瑞士银行客户那里购买数据以帮助他们进行税务欺诈调查的案例。

gdpr的严格框架被这种数据泄露所抹杀。要求删除数据的客户似乎被忽视，甚至被欺骗。

一位账本客户告诉我们：

2020年5月，我给他们发了一封电子邮件，要求他们从多个订单中删除关于我的任何数据。我在邮件中引用了gdpr的话，他们说：“谢谢你联系我们。
由于信息泄露，我进行了交叉检查，发现我的大量数据（包括电子邮件、地址、电话……）被泄露

账本应确保在设定的时间后自动删除个人资料。

账本是不称职，忽视这些要求，还是不诚实？

现在这些都不重要了。什么都不能改变。

对于数据泄漏，没有任何解决办法。唯一的解决办法就是预防。