LEDGER - REKT



用你的钱包投票。

Ledger已经失去了用户的信任。

7月份采集的客户信息,早就提供给愿意付费的人,而且现供免费查阅。

**昨夜,raidforums **公布了272,853名客户和1,075,382名电子邮件订阅者的名单,这份名单令一些论坛用户大感失望,他们抱怨说OP毁了其财务价值。

2020年7月,一位研究人员在参加Ledger的漏洞赏金(https://donjon.ledger.com/bounty/)项目时发现了一个潜在的攻击模式。后来发现这个模式已被人利用。

随后,Ledger宣布他们的网站已被人利用,"一个未经授权的第三方通过API Key访问了我们的部分电子商务和营销数据库"。

据报道,这次数据泄露所包含的信息以近六位数的价格被出售。这证明了这些个人信息的价值;付钱购买这些信息的人都希望能从中获利。

自从这些信息可供大众免费查阅,用户已经报告网络钓鱼的尝试次数有所增加。这种行为将在未来几个月内继续增长,如果听闻因这次数据泄露而导致物理攻击,也就不足为奇了。

最好的情况是,Ledger为SIM卡交换者和网络钓鱼活动提供了目标名单。最坏的情况是,因个人信息泄露而遭受人身攻击或或入室盗窃。

起初Ledger告知我们,一批9500名客户的数据被曝光,包括姓名、邮寄地址和电话号码。现在,我们发现这个数字接近22.7万。

Ledger是否故意掩盖事件的严重性

我们采访了Ledger的代表,他作出以下声明;

我们仍在调查这个持续存在的问题,但转储的内容可能是Ledger的电子商务数据库,该数据库在2020年6月的数据泄露事件中暴露出来。欺诈者可能利用该数据库通过电子邮件和短信活动进行网络钓鱼攻击。

我们的客户支持团队一直致力于通过推特通知我们的用户并回复问题,同时也报告所有包含数据库链接的推文和Reddit帖子。我们敦促所有用户切勿分享他们的24字短语,并牢记,我们团队的任何成员都不会要求这些> 私人信息。

自从我们在2020年6月发现数据泄露事件后,我们与一家外部安全组织合作进行了合法审查。该审查确认只有9500人受到影响,Ledger支持团队亲自联系了所有这些人。自网络钓鱼攻击开始发生以来,我们预计可能会> 有更多信息遭到泄露,于是继续通过推特和电子邮件通知所有用户。

我们正竭尽所能停止这些攻击,避免未来出现类似情况。Ledger制定了一套措施,该措施保护我们的用户免于沦为网络钓鱼攻击的受害者。我们建立了一个网页,该网页分享了网络钓鱼攻击的解剖结构,这有助于避免> 用户上当受骗,该网页也可以用来报告任何新的攻击事件:https://www.ledger.com/phishing-campaigns-status

我们对这一情况深表遗憾,我们的团队正在努力制止欺诈者,挽回社区对我们的信心。我们从一开始就对这一问题保持公开透明的态度,并将在获得信息后继续对任何新的进展做出回应。我们正在继续分析这些数据,> > 并将继续提供最新信息。


这种情势说明了依赖于第三方安全存储我们信息的问题。

随着Web3.0的发展,Web2.0的问题变得更为明显。线下公司的强制遵从延缓了我们的发展步伐,也让我们的信息处于危险之中。

我们被迫将我们的数据委托给这些公司处理,尽管集中存储的风险是已知的。像Ledger这样的公司纠结于新旧世界之间,无法或不愿意采用诸如zk-proof等技术,这些技术可确保他们的数据库处于安全水平。

**热衷于查看这些信息的不仅仅是犯罪界的人。**在欧洲,已有官员购买瑞士银行客户数据以帮助他们调查税务欺诈活动这样的案例。

此次数据泄露事件彻底毁掉了GDPR的严格法律框架。客户要求删除自己的数据,却似乎被忽视,甚至被欺骗。

其中一位客户告诉我们;

我在2020年5月给他们发了一封电子邮件,要求他们删除多个订单中任何有关于我的数据。我在邮件中提到了GDPR。 他们回复说:"感谢您与我们联系。我们将尽快完成。"

随着发生泄密事件,我反复检查了一下,发现我在大数据暴露中(邮件、地址、电话...)。

Ledger应该确保这些个人数据在一段设定的时间后自动删除。

是无能还是不诚实让Ledger忽略了这些请求?

现在已经无关紧要了--已经发生的事情无法改变。

数据泄露是无法弥补的,唯一的解决办法就是预防。


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。