今天,一家黑客网站公开了超过100万封显然是从硬件钱包制造商Ledger窃取的客户电子邮件。莱杰表示,仍在确认事件细节,但承认这些数据“确实可能是2020年6月起我们电子商务数据库的内容。”
泄露的数据发表在Raidforums上,还包括Ledger客户的姓名、实际地址和电话号码,似乎源于6月份Ledger电子商务数据库遭到黑客攻击。
全部泄漏的邮件地址超过100万个,实际地址和电话号码超过27万个。
泄密是合法的。
超过1000000个电子邮件地址
超过250000个物理地址和电话号码网址:https://t.co/hLoXv3BATk
-詹姆逊洛普(@Lopp)2020年12月20日
根据网络安全网站haveibeenpwned.com网站,从最初的黑客攻击开始,它已经将转储数据库中69%的地址列为已被泄露。
新的漏洞:Ledger在6月份有超过100万个电子邮件地址被破坏,并在今天公开出售。数据还包括姓名、实际地址和电话号码。69%的电子邮件地址已经存在于@haveibeenpwned中。更多信息:https://t.co/F44bBWzioQ
-2020年12月20日,我被解雇了吗
莱杰在一系列推特中指出,已经接到数据库转储的警报,并“仍在确认”泄露的信息是否真实早期迹象表明,这确实可能是我们2020年6月的电子商务数据库的内容,”该公司表示,并补充说,“我们真诚地对这种情况感到遗憾,这是一种严重的轻描淡写。”
什么信息被泄露了?
最初的黑客攻击目标是Ledger的营销和电子商务数据库,这意味着只涉及联系人和订单的详细信息;攻击中没有财务信息、恢复短语或密钥。在9500起案件中,电话号码、邮政地址和购买产品的细节被曝光。
攻击者能够使用(自禁用)API密钥访问电子商务数据库。
今年早些时候,Ledger市场营销副总裁Benoit Pellevoizin在接受Decrypt Daily podcast的采访时警告说,泄露的信息可能被用于网络钓鱼攻击,试图欺骗Ledger客户交出他们的私钥。Pellevoizin说:“基本上,通过电子邮件,他们可以以我们的客户为目标,冒充莱杰,要求他们提供种子词组,从而获得硬币……我们从来没有这样要求过。”。
Ledger在今天的一条推特上重申,用户永远不要与任何人分享他们的24字恢复短语,“即使他们假装是Ledger的代表。”该公司还设立了一个网页,用户可以报告网络钓鱼攻击的细节。
最重要的是:永远不要和任何人分享你恢复期的24个词,即使他们假装是莱杰的代表。莱杰永远不会向你要这些词。莱杰永远不会通过短信或电话联系你。
-分类账(@Ledger)2020年12月20日
莱杰在最初的黑客攻击事件发生时发表的一份声明中说,法国的数据保护局CNIL于7月16日接到了有关该漏洞的通知。