27万用户数据泄露，硬件钱包制造商 Ledger CEO：不会赔偿、不要把威胁当真

区块链资讯阅读 13400 2020-12-22 16:07

CEO：这事不赖我

12 月 21 日，黑客网站 Raidforums 公开了从硬件钱包制造商 Ledger 中窃取的 100 多万封客户电子邮件。Ledger 随后表示“确实可能是我们 2020 年 6 月电子商务数据库的内容”。Ledger 公司估计目前已经有 27 万用户的姓名、配送地址以及电话号码等敏感信息被泄露在网上。

网络安全网站 haveibeenpwned.com 称，从最初的黑客攻击开始，该数据库中 69% 的地址已经被泄露。

Ledger CEO：不会做出任何赔偿

Ledger 公司推出的加密钱包，可接入计算机以访问加密货币账户。黑客最初的攻击目标是 Ledger 营销和电子商务数据库，这意味着只涉及联系人和订单的详细信息。攻击中没有暴露任何财务信息、恢复语句或密钥。Ledger 市场营销副总裁 Benoit Pellevoizin 警告说，泄露的信息可能会被用于网络钓鱼攻击，以试图欺骗 Ledger 客户交出其私钥。

Ledger 发布推文强调，即使有人自称 Ledger 工作人员，用户也切勿与任何人共享密钥。该公司还建立了一个网页，用户可以在其中报告网络钓鱼攻击的详细信息。

但该公司态度依然强硬。Ledger 公司 CEO Pascal Gauthier 今天表示，该公司不会对个人数据意外泄露的客户做出任何赔偿。

Gauthier 在采访中表示，“我们的公司体量太小，无法针对上百万用户做出全面补偿，这根本不现实。相反，我们只能着眼于未来。Ledger 公司目前正投入大量时间与资金以构建新的安全层，努力为用户带来更多更为安全的产品。”

根据相关报道，这批敏感数据的外泄导致网络钓鱼攻击出现进一步升级。在此之前，已经有不少钓鱼邮件要求 Ledger 用户下载恶意链接并提交私钥，借此窃取其加密货币。如今，新的邮件则提醒用户其姓名及地址已遭窃取，因此除非支付赎金，否则攻击者可能会“登门拜访”、直接窃取加密货币。

Gauthier 指出，“这只是网上常见的骗局，旨在恐吓普通用户。攻击者总爱使用这类伎俩，但真正的上门行动成本高昂、根本就不现实。”

很明显，这位高管是在劝受害者们不要把威胁当真。

“即使有这种可能性——虽然可能性很低很低，大家也不用太过惊异。数据库入侵事件实际发生在今年 6 月，而迄今为止还没有任何关于相关攻击的报告。”

Gauthier 辩称，欺诈者一直很重视成本，因此才更倾向于用广撒网式的网络钓鱼攻击接触大量客户，而非选取一少部分进行针对性攻击。

Gauthier 提到，客户们用不着急转移。当然，客户也不应把私钥留在自己家中，特别是考虑到私钥对应着数额巨大的加密货币这一现实情况。“您会在家里存放上百万美元现金吗？如果数额达到这个级别，就不该这么大意。”Ledger 公司还建议用户将私钥存储在其他人无法访问的安全位置。

目前，已有很多 Ledger 用户公开表态，要对 Ledger 提起集体诉讼。而对此，Ledger 则回应称，官方一直在与执法部门合作起诉黑客，并阻止一些诈骗者。

另外，Reddit 用户“u/relephants”表示，一些在 6 月的信息泄露事件中受害的 Ledger 用户已经收到威胁性的电子邮件，邮件要求他们支付 500 美元，否则将有遭受人身攻击的风险。