Ledger首席执行官(CEO)Pascal Gauthier表示,该公司不会对个人数据意外泄露的客户做出任何赔偿,而是将投入时间和资金来构建新的安全层。12月21日,黑客网站Raidforums公开了从Ledger中窃取的100多万封客户电子邮件。Ledger随后证实这可能是他们2020年6月电子商务数据库的内容。据估计,已有27万用户的敏感信息,如姓名、配送地址和电话号码等被泄露在网上。根据网络安全网站haveibeenpwned.com的数据,该数据库中69%的地址已经被泄露。Ledger公司的加密
钱包可以接入计算机以访问
加密货币账户。黑客最初攻击的目标是Ledger的营销和电子商务数据库,因此只涉及联系人和订单的详细信息,未暴露任何财务信息、恢复语句或密钥。Ledger市场营销副总裁Benoit Pellevoizin警告说,泄露的信息可能会被用于网络钓鱼攻击,试图欺骗Ledger客户交出其私钥。Ledger发布推文强调,用户不应与任何自称为Ledger工作人员的人分享密钥,并建立了一个网页,用户可以在其中报告网络钓鱼攻击的详细信息。然而,该公司的态度依然坚决,CEO Pascal Gauthier表示,该公司不会对个人数据意外泄露的客户做出任何赔偿。他表示,公司的规模太小,无法对上百万用户进行全面补偿,因此他们将投入时间和资金来构建新的安全层,以为用户提供更多更安全的产品。不过,泄露的敏感数据导致网络钓鱼攻击进一步升级。一些钓鱼邮件要求Ledger用户下载恶意链接并提交私钥,以窃取加密货币。现在,新的邮件则提醒用户,他们的姓名和地址已经被窃取,如果不支付赎金,攻击者可能会实施实际的人身攻击并直接窃取加密货币。Gauthier表示,这只是一种常见的网络欺诈行为,目的是恐吓普通用户。他补充说,欺诈者一直非常重视成本,所以他们更倾向于通过扩散网络钓鱼攻击来接触大量客户,而不是选择有针对性的攻击。Gauthier建议客户不要着急转移。然而,他还是提醒客户不要将私钥保留在家中,特别是考虑到私钥对应着大量加密货币的情况。他还建议用户将私钥存储在其他人无法访问的安全位置。目前,许多Ledger用户已经公开表示将对Ledger提起集体诉讼。Ledger回应称,他们一直在与执法部门合作起诉黑客,并阻止一些诈骗行为。此外,一些在6月的信息泄露事件中受害的Ledger用户最近收到了威胁性电子邮件,邮件要求支付500美元,否则将有遭受人身攻击的风险。另一方面,Pascal Gauthier可能没有亲身经历过袭击,但Casa首席技术官(CTO)Jameson Lopp在个人安全问题上发言权很大。他在2017年遭到特警殴打后,花了不少时间和精力隐藏自己的行踪,并雇佣了私家侦探。Lopp表示,黑客入侵是不可避免的,信息本质上是免费的,因此存储大量信息的服务平台都存在这类问题,特别是有价值的个人身份信息。他强调,企业应该尽可能尝试删除此类数据。他认为威胁性网络钓鱼攻击中的大部分是口头恐吓,并不会付诸实际行动。然而,他也提到,欺诈分子确实可能对某些重要目标发动此类攻击,所以攻击者会先进行大量调查,了解哪些客户拥有车和房。Lopp表示,这可能成为新一轮物理攻击的催化剂或转折点,未来可能会有更多人开始关注自己的隐私信息。他建议受影响的客户权衡自身实际情况,决定采取哪些措施来保护身份数据。他还指出,客户不能将黑客攻击的责任归咎于Ledger公司。使用个人真实住址而不是邮箱或企业地址来增加隐私性本来应该是用户的责任。因此,要求退款真的很荒谬。Lopp表示,Ledger的产品没有问题,他们仍然是安全可靠的。使用这些产品的人出了问题,这完全是两码事。