法国加密硬件钱包公司Ledger披露,其电商数据库在6月底遭到黑客入侵,导致约100万名客户的电子邮箱地址被泄露。公司表示,此次事件并未影响用户资金、支付信息、密码,也没有波及硬件钱包设备及Ledger Live的安全性。
根据Ledger发布的博客说明,泄露的数据不仅包括邮箱地址,还涉及部分客户的联系与订单信息。其中,约9500名用户的更敏感资料被暴露,包括姓名、邮寄地址和电话号码。Ledger称,攻击目标是公司的营销和电商数据库,相关漏洞目前已被修复。
漏洞发现与攻击时间线
Ledger表示,一名参与其漏洞赏金计划的研究人员于7月14日发现并报告了这一安全问题。公司在响应过程中修复了漏洞,但随后确认,该漏洞实际上已在6月25日被未授权第三方利用。
攻击者通过一个现已停用的API密钥访问了Ledger的营销和电商数据库。该数据库主要用于发送订单确认邮件以及营销推广邮件。Ledger强调,此次数据泄露与硬件钱包本身没有关联,用户的加密资产“始终处于安全状态,从未面临风险”。
公司回应与后续措施
对于此次事件,Ledger表示“极为遗憾”。公司称,已于7月17日向法国数据保护机构CNIL提交报告,并在四天后与网络安全公司Orange Cyberdefense展开合作,以评估此次数据泄露可能造成的损害,并排查是否存在进一步的数据外泄风险。
截至Ledger披露信息时,公司仍在寻找被盗数据是否已在互联网上出售的证据,但尚未发现明确迹象。不过,Ledger特别提醒用户提高警惕,防范不法分子借助泄露信息发起的钓鱼攻击。对于加密货币用户而言,即便资金和私钥未直接受影响,个人身份信息和联系方式的泄露,仍可能成为后续社工诈骗的重要入口。

