近日,一位敏锐的安全漏洞赏金猎人发现了一起针对知名加密货币硬件钱包供应商 Ledger 的大规模数据泄露事件。约一百万用户的联系信息遭到泄露,但官方强调用户硬件钱包内的资金并未受到影响。
事件概述
Ledger 在其官方发布的安全公告中证实,一名参与公司漏洞赏金计划的研究人员标记出 Ledger 网站可能存在数据泄露风险。随后的调查显示,一名未授权的第三方通过某个暴露的 API 密钥,访问了该公司电商及营销数据库的“一部分内容”。
此次泄露涉及约一百万用户的电子邮件地址。其中还有约 9500 名用户的其他个人信息遭到曝光,包括姓名、邮政地址和电话号码。
用户资金未受影响,但需警惕钓鱼攻击
Ledger 明确表示,被入侵的数据库仅用于发送订单确认和营销邮件,与用户的支付信息及硬件钱包内加密货币资金的安全无关。
不过,Ledger 仍强烈建议用户提高警惕,防范冒充官方的钓鱼邮件。攻击者可能试图骗取用户账户的控制权或助记词信息。
Ledger 郑重声明:“简单来说,Ledger 绝不会向您索要 24 个单词的恢复短语。如果您收到看似来自 Ledger 并索要助记词的电子邮件,应视其为钓鱼尝试。”
事件响应与后续措施
发现漏洞后,Ledger 在 24 小时内已将被暴露的 API 密钥停用。公司表示正在向相关当局提交正式投诉,并积极监控是否有证据表明该数据库在互联网上被出售。截至目前,尚未发现相关活动。
此外,Ledger 已完成内部渗透测试,并计划将原定于九月进行的外部渗透测试提前实施,以进一步加强系统安全。
常见问题
Q1: 这次数据泄露会影响我硬件钱包中的加密货币吗?
不会。Ledger 硬件钱包的设计使得私钥从不离开设备,资金安全由硬件本身保障。本次事件仅涉及电商和营销相关的用户数据。
Q2: 我应该采取哪些措施来防范可能的钓鱼攻击?
切勿点击来源不明的链接,绝不向任何人透露您的恢复短语(24个单词)。Ledger 官方绝不会通过邮件或短信索要这些信息。如收到可疑邮件,请直接标记为钓鱼并删除。
Q3: 我的哪些信息被泄露了?
约一百万用户泄露了电子邮件地址,其中9500名用户还可能包括姓名、邮政地址和电话号码。支付数据和资金私钥未受影响。
Q4: 如果我已经收到疑似钓鱼邮件,该怎么办?
请勿回复或点击任何链接。立即将其删除,并可向 Ledger 官方支持报告。保持警惕,避免访问仿冒网站。
Q5: Ledger 后续如何防止类似事件?
公司已加强内部安全审计,提前进行渗透测试,并持续监控网络异常活动。未来会进一步强化API密钥管理和访问控制策略。
尽管用户的资金目前是安全的,提高个人安全意识仍是抵御潜在威胁的关键。如果您希望了解更多安全最佳实践或掌握实时防护动态,不妨👉查阅最新的安全防护指南,保持信息和资产的双重安全。