泄露數十萬用戶信息，硬件錢包Ledger遭遇信任危機_EDG

用你的錢包投票。

Ledger已經失去了用戶的信任。

7月份泄露的客戶信息，早已提供給那些愿意付出代價的人，而現在，這些信息是免費的。

昨晚，有人在raidforums上發布了Ledger的272853名客戶及1075382名電子郵件用戶的名單及信息，這讓一些論壇用戶感到沮喪。

2020年7月，一名研究人員在參與Ledger漏洞懸賞計劃時，發現了一個潛在的攻擊向量，后來，人們發現這一攻擊向量已被利用。隨后，Ledger宣布稱其網站遭到了攻擊：

Aptos代幣經濟學疑似泄露，其中51.02%的代幣分配給社區:10月18日消息，The Block研究副總裁Larry Cermak發推表示，加密交易所Upbit疑似意外在他們的Aptos PDF報告中泄露了Aptos代幣經濟學。根據對應圖表，51.02%的代幣分配給社區、16.5%分配給基金會、19%分配給核心貢獻者、13.48%分配給投資人。[2022/10/18 17:30:41]

“未經授權的第三方通過API密鑰訪問了我們的電子商務和市場數據庫的一部分。”根據報道稱，泄露的數據信息以近六位數的價格被出售了，這證明了這些個人信息的價值，而無論是誰在支付這些信息，他們都是為了從中獲利。

美國加密監管法案疑似被泄露，DAO、交易所和穩定幣提供商必須成為注冊實體:金色財經報道，周一晚間，一組帶有“EMBARGOED”水印的文件開始在社交媒體上流傳，據稱，該文件美國加密法案。文件顯示，從合規性開始，DAO、交易所和穩定幣供應商必須成為注冊實體。如果沒有注冊，據說會被征稅。許多證券法已被重新明確，許多資產已被重新歸類為CFTC的商品。在所有條款中，最突出的一條是，如果有任何債務、股權、利潤收入或任何種類的股息，那么相關資產將不再被標為數字資產商品。法案中還列出了關于加密貨幣交易所的單獨條款，建議提高合規成本，

破產的定義發生了變化，根據該法案，存入的資產將被返還給用戶，而不是被清算。這個明確的提案如果通過，最終可能對用戶來說是雙贏的。

另外，費用抵消規則意味著交易所必須向政府支付費用，同樣可能會增加成本。該法案還有一個單獨的部分專門討論服務條款，用戶會根據源代碼版本同意一些條件。對源代碼的任何更新都需要重新簽訂協議。

此外，許多其他監管機構被授予交叉權力，對新領域的法規進行調查并提供建議。該提案還賦予存款機構發行穩定幣的權利。同時，該法案還明確規定了其他合規要求和懲罰措施。[2022/6/7 4:07:51]

由于這些信息現在可自由訪問，有用戶報告稱，網絡釣魚的嘗試增加了。而在接下來的幾個月里，我們預計這種行為將繼續增長，因此，如果聽說有人因為這種數據泄露而遭到物理攻擊，也就不足為奇了。

部分“微博數據泄露”信息售賣所得ETH匯集流入交易所:北京鏈安Chainsmap監測系統發現，疑似“微博數據泄露”事件相關交易的57.31枚ETH匯集后流向HitBTC交易所。

據數據分析師SXWK介紹，相關數據泄露事發后，我們即監控了線報提供的交易地址。盡管數據售賣者向不同買家給出了不同地址，但是卻在近日將包括我們監控地址在內的來自于155個地址的總計57.31枚ETH匯集到新地址，并進而轉賬到交易所。這些地址交易時間都在數據泄露事件事發后，大都只交易一次，涉及的金額大都在0.3到0.5ETH之間。[2020/3/26]

最壞的情況下，泄露的個人信息可能會導致物理攻擊或入室盜竊。

突發 | IOTA內部聊天記錄遭泄露 揭示內容沖突:據thenextweb消息，近日，IOTA開發人員發送的消息泄露在Pastebin文檔中，其中，IOTA的兩位聯合創始人卷入了關于董事會成員資格的熱烈討論。IOTA聯合創始人Sergey Ivancheglo表示，我不再信任Dominik Schiener，我認為他應該退出IOTA基金會，以實現IOTA更美好的未來。Dominik Schiener是IOTA的另一位聯合創始人，根據Ivancheglo的聊天記錄，他已經重組了公司，以便高管能夠投票給Ivancheglo。 而Schiener稱他的話“荒謬可笑”。Scheiner說，“我們終身選舉董事會成員，我們應該共同領導一個10億美元的項目和基金會，并回應Ivancheglo拒絕接聽電話，提到了“公開斗爭”的可能性。 自泄露的聊天記錄以來，IOTA已經發布了一份官方回應，似乎得出了沖突的結論，稱該公司計劃在雙方簽署的諒解備忘錄的基礎上，繼續邀請兩位失蹤的創始人加入IOTA董事會。[2018/8/9]

最初，Ledger告訴我們，已被公開數據的用戶數有9500名，其中包括他們的姓名、郵政地址以及電話號碼。現在，我們發現這個數字實際接近了227,000。

Ledger是否故意掩蓋了事件的嚴重性？

我們采訪了Ledger的代表，其提供了以下聲明：

我們仍在調查這一持續存在的問題，泄露的內容可能是Ledger的電子商務數據庫，該數據庫在2020年6月份時遭到泄露。詐騙者可能使用此數據庫通過電子郵件和短信活動來進行網絡釣魚攻擊。我們的客戶支持團隊一直在努力通過Twitter通知用戶，并回答問題，同時還報告包含數據庫鏈接的所有推文和Reddit帖子。我們敦促所有用戶不要分享他們的助記詞，并且要記住，團隊不會要求用戶提供私人信息。自2020年6月發現數據泄露事件以來，我們與外部安全組織合作進行了取證審查。這次審查確認，只有9500名個人受到影響，Ledger支持人員親自聯系了所有受影響的用戶。自網絡釣魚攻擊開始發生以來，我們預計會有更多信息泄漏，并繼續通過Twitter和電子郵件通知所有用戶。我們正在竭盡全力阻止這些攻擊并避免將來發生這種情況。Ledger采取了一系列措施來保護我們的用戶，使其免受淪為網絡釣魚攻擊的受害者。我們已經建立了一個網頁，共享網絡釣魚攻擊的解剖結構，以便用戶避免掉入網絡釣魚并報告任何新的攻擊：https://www.ledger.com/phishing-campaigns-status對于這種情況，我們深表遺憾，我們的團隊正在努力制止詐騙者，并恢復社區對我們的信任。我們從一開始就對這一問題持開放和透明的態度，并將在信息發布后繼續響應任何新的發展。我們正在繼續分析這些數據，并將繼續提供更新。

第三方存儲用戶信息的問題

這種情況顯示了依賴第三方來存儲我們的信息的問題。

隨著Web3.0的發展，Web2.0的問題變得越來越明顯。線下公司的強制遵守減慢了我們的進度，并使我們的信息處于危險之中。

盡管存在已知的集中存儲風險，我們仍被迫將我們的數據委托給這些公司。像Ledger這樣的公司仍在舊世界與新世界之間掙扎，其無法或者不愿意實施零知識證明這樣的技術來保護他們的數據庫。

不僅僅是犯罪世界熱衷于查看這些信息，在歐洲，已經有一些案例表明，一些官員購買了瑞士銀行客戶的數據，以幫助他們進行稅務欺詐調查。

GDPR的嚴格框架被這一數據泄露所抹殺。要求刪除數據的客戶似乎被忽視了，甚至被欺騙了。

有一位Ledger客戶這樣告訴我們：

在2020年5月份，我給他們發了一封電子郵件，要求他們從多個訂單中刪除關于我的任何數據。我在郵件中引用了GDPR，他們回答說：“謝謝你聯系我們，我們會盡快完成的。”隨著這次信息泄露，我進行了交叉檢查，發現自己的大量數據都被泄露了Ledger應確保在設定的時間后自動刪除個人數據。

是Ledger不稱職，忽視了這些要求，還是其不夠誠實？

這些現在都已經不重要了，發生的一切都無法改變。

數據泄露沒有治愈方法，唯一的解決辦法就是預防。

Tags：GEREDGEDGELEDledger錢包是哪個國家的ledger錢包安全嗎Quantum Resistant Ledgerledger錢包硬件壞了怎么辦

AVAX