知名硬件钱包 Ledger 数据泄漏

2020-07-29 Robin Wen 更多博文 » 博客 » GitHub »

原文链接 http://dbarobin.com/2020/07/29/ledger/
注：以下为加速网络访问所做的原文缓存，经过重新格式化，可能存在格式方面的问题，或偶有遗漏信息，请以原文为准。

文/Robin

知名硬件钱包 Ledger 今天发布公告，宣称电子商务和营销数据泄露，但是支付信息、加密资产是安全的。

事件经过是怎么样的呢？一位安全研究员在 Ledger 的 bounty program 提醒 Ledger 潜在的网站数据泄漏。在 2020 年 7 月 25 日，Ledger 的数据库存在未授权访问，导致数据泄漏。泄漏的数据包括电子商务和营销数据，具体的数据是客户的邮件地址、订单详情（客户的姓名、邮寄地址、邮件地址、电话号码）。至于数据库的未授权访问是怎么样实现的呢？Ledger 的公告宣称是利用了 API Key，目前这个 API Key 已经失效。

此次安全事故具体涉及到多少数据呢？大概 100 万的电子邮件地址，其中 9500 个客户的订单详情（客户的姓名、邮寄地址、邮件地址、电话号码、购买的产品型号）泄漏。Ledger 随后通知了 CNIL，然后和 Orange Cyberdefense 合作研究这些数据的潜在威胁。最后 Ledger 提醒用户警惕恶意诈骗者的钓鱼。最简单的一点，Ledger 不会主动向您请求提供 24 个单词的助记词。

Ledger 是笔者有且唯一在使用的硬件钱包产品，出了安全事故自然多关注些。毕竟 100 万的邮件地址泄漏，还不知道恶意诈骗者会利用这些 Email 做些什么勾当。Ledger 这样的态度，对于用户而言总是好的，勇于承认错误以及付诸行动，并且真诚地道歉，而且公开地向用户做出提醒。

Ledger 是少数真正开源，而且产品体验优秀的硬件钱包产品。如果您也在用 Ledger，希望您看到这篇文章后，有所警惕。在收到宣称来自 Ledger 团队的邮件时，多留点心。Ledger 常用的邮件地址是 noreply@ledger.com，官网是 www.ledger.com。

我是区块链罗宾，博客 dbarobin.com 如果您想和我交流，我的微信: Wentasy

本站推广

币安是全球领先的数字货币交易平台，提供比特币、以太坊、BNB 以及 USDT 交易。

币安注册: https://accounts.binancezh.pro/cn/register/?ref=11190872 邀请码: 11190872

本博客开通了 Donate Cafe 打赏，支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。

–EOF–