Ledger 信息泄露后续
source link: https://yishi.io/ledger-info-leak/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Ledger 信息泄露后续Skip to the content
A Chinese independent investor and business thinker.
Ledger CEO帕斯卡(Pascal)在官方博客写了篇文章,解释清楚了12月份整个事件的来龙去脉。仔细看了下,一身冷汗。
其实早在2020年7月14日,Ledger 就已经发生了信息泄露。
当时一名研究人员通过 Ledger 的悬赏计划与他们联系,告诉他们 Ledger 的电商和营销数据库数据泄露,有超过100万个电子邮件地址和大约9500个客户记录(包括名称,地址,订购的产品和电话号码)被脱裤。
这意味着,半年前 Ledger 就已经知道了这件事,但是他们选择不公开承认。
到了2020年12月20日,Ledger 被盗的客户数据库在某个论坛上被彻底公开(其实现在还有,我就不放了),除了曾经那100万个电子邮件地址之外,还有大约272,000条客户详细记录赫然在列。
这时候 Ledger 高层开始紧张,决定给所有受影响的客户发电子邮件,提醒他们谨防钓鱼。
2020年12月23日,Shopify 猪队友补刀,告知 Ledger 他们遭遇了商户数据泄露事件,涉及200多个商户,其中就有 Ledger。
其实 Shopify 一开始也不确定 Ledger 被影响,因为这起数据泄露在早在9月份就已经发生了,而直到12月21日,Shopify 才查明 Ledger 也是受害的200多个商户之一,这才姗姗来迟的通知了他们。
事已至此,Ledger 面临海量的用户投诉,以及可以肯定有不少用户被钓鱼邮件骗光家产,用户对 Ledger 的愤怒瞬间拉满。
在硬件钱包领域当了这么久老大,Ledger 终于遭遇滑铁卢。
这帮法国人痛定思痛,开始放下傲气,陆续做了这么几件事:
1)承诺今后所有 Ledger 的订单和客户个人数据都会被及时删除。
2)Leger Live(也就是配合硬件的客户端)会通过加密技术主动推送重要的安全信息。
3)设立金额为 10BTC 的赏金用来给逮捕和起诉罪犯提供帮助的人。
4)推出某个新的技术方案,来避免24位助记词成为安全钱包的唯一弱点(我猜可能是独立的二次校验手段,不太可能是助记词分片)。
5)设立投资者保险,帮助受害者挽回部分损失。
这里给大家一些提醒和建议:
1)如果你在在2020年6月底之后从官网购买的Ledger产品,或者第三方渠道购买,那就不受这次隐私泄露事件的影响。
2)泄露的只是客户订单数据,只要助记词不泄露,资金依然是安全的,不用多虑。
3)不要瞎点邮箱里来路不明的邮件,要知道发件人都可以伪装。
4)只从官网下载客户端。
5)永远不要告诉别人你的助记词。
以上,创业不易,希望 Ledger 顺利渡过这次信任危机。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK