加密硬件钱包厂商Ledger披露,其电商数据库在6月下旬遭到黑客攻击,导致约100万个客户邮箱地址被泄露。公司表示,此次事件并未影响用户资金,硬件钱包及Ledger Live的安全性也未受到波及。
泄露范围涉及联系方式与订单信息
根据Ledger发布的博客说明,此次被访问的是公司的营销和电商数据库,相关数据主要用于发送订单确认邮件和营销推广信息。除邮箱地址外,部分客户的联系信息和订单信息也遭到暴露。
其中,大约9500名客户的更敏感资料被泄露,包括名字、姓氏、邮寄地址以及电话号码。Ledger称,攻击者借助一个随后已被停用的API密钥访问了相关数据库。
漏洞先被研究员发现,但黑客已提前利用
Ledger表示,一名参与其漏洞赏金计划的研究人员于7月14日发现并报告了该漏洞。公司随后进行了修复,但进一步调查发现,未经授权的第三方实际上已在6月25日利用这一漏洞实施入侵。
Ledger称,漏洞现已完成修补,并强调此次数据泄露不涉及支付信息、用户密码或加密资产。公司在声明中指出:“此次数据泄露与我们的硬件钱包及Ledger Live安全没有任何关联,用户的加密资产是安全的,从未处于危险之中。”
已向监管机构报告并提醒用户防范钓鱼
在应对措施方面,Ledger表示已于7月17日向法国数据保护机构CNIL提交报告,并于四天后与Orange Cyberdefense展开合作,以评估此次事件可能带来的损害,并识别潜在的数据扩散情况。
截至披露时,Ledger称尚未发现被盗数据已在互联网上出售的证据。不过,公司提醒用户提高警惕,注意防范不法分子可能借此次事件发起的钓鱼攻击和冒充诈骗。
对于一家以安全性著称的硬件钱包厂商而言,这起事件再次说明,即便核心资产保管系统未受影响,围绕电商、营销和客户管理的外围基础设施,依然可能成为攻击者的重要目标。

