Ledger 信息泄露的连锁后果：从 SIM-Swaps 到家庭入侵！

当 JimboChewdip 得知周日被公布在网上的数千名 Ledger 客户个人信息中包括自己时，他迅速采取了行动，但是速度也不够快。

JimboChewdip，我们简称他为 JCD，整个星期一早上都在修改他的密码，可只是收到了一条通知，他的一个双因素认证（2FA）账户中增加了一个新设备，然后他尝试登录邮箱，却发现被锁了。

他后来告诉 CoinDesk：“在几分钟之内，我开始收到有关 Coinbase，Binance，Dropbox 密码更改的通知。我试图通过 Wi-Fi 打电话给 T-Mobile，但是在 SIM 卡无效的情况下无法使用，因此我在 Twitter 上与他们联系，并从支持人员那里锁定了我的帐户。”

同时，JCD 将这种情况同步到推特上。

他说：“等到我进入 Coinbase Pro 帐户并检查余额时，我持有的比特币已经被售出并且已经被提现。Coinbase 客服人员并没有回应。” 价值约 2,000 美元的加密货币消失了。

不过他没办法证明遭受的 SIM-swap 攻击肯定是跟 Ledger 的信息泄露有关，但时间太巧了！

这次数据泄露公开暴露了 100 万个电子邮件地址和 27.2 万个客户的姓名、邮寄地址和电话号码。受影响的人数远高于该公司 7 月份披露黑客攻击时估计的 9500 人。

这起事件表明了此类泄密可能造成的有形伤害，人们的数据可能被各种各样的方式所滥用来危害他们，同时也引发了一些讨论，即某些数据应该如何以及是否应该保留。如果有人进入了一个中心化的敏感信息存储库，所有信息可能早晚被盗取泄露。

黑客们正以各种方式利用这种情况，包括使用数据进行 SIM-swap 攻击，就像针对 JCD 的攻击一样。这种攻击包括欺骗电信供应商的员工，将受害者的电话号码移植到攻击者的设备上。例如，这可以让攻击者使用或绕过 2FA 来访问加密钱包或社交媒体配置文件。

更糟糕的是，一些用户还收到了物理威胁。例如，一名用户据称收到了一封试图勒索加密货币的电子邮件，威胁者称他们“不怕入侵他们的家”。

痛定思痛

随着美国政府和一些顶级网络安全公司在长达数月的网络间谍活动中遭到入侵，政府可能需要重新考虑有关数据保存的要求。

数据泄露极为常见。但这个泄露的数据不同，与其他数据泄露事件相比，犯罪分子会做出更大的努力，因为每个目标用户的潜在回报要高得多。

图 | 不要收集你保护不了的东西。个人信息应该像有毒废物一样被处理 ，Casa 的詹姆森·洛普说道。（来源：Coindesk）

周二，总部在巴黎的 Ledger 在推特上说:“从昨天开始，又有一波新的网络钓鱼攻击发生了，对我们的用户构成了物理上的威胁，受害者永远都不应该妥协给攻击者赎金。”

Ledger 首席执行官帕斯卡尔·高捷在接受采访时强调，他对此次黑客攻击以及随后的泄密事件感到非常抱歉。

他说:“我想强调我们有多抱歉，因为我认为，对我们的客户来说，让他们知道影响他们的事情也会影响我们，这很重要。”

他说，最初的黑客攻击在一定程度上是公司扩张过快的结果，他和即将上任的首席信息安全官马特·约翰逊(Matt Johnson)将在明年 1 月宣布一项新的数据政策，并计划进一步解决泄密问题。

高捷表示，物理威胁很可能是网络钓鱼广撒网尝试，该公司据称看到这些电子邮件以多种语言发出，这意味着有人真正试图对用户进行物理攻击的可能性很小。

涉及加密货币，在家里进行钓鱼攻击比在别人家里攻击要便宜得多，也容易得多。攻击者会选择最廉价的攻击，而网络钓鱼绝对是最廉价的攻击，然后才会采取其他行动。

其他公司，包括竞争对手、钱包硬件制造商科金基特(CoinKite)，似乎是为了回应此次泄密事件，宣布将在一段时间后删除用户数据。高捷说，鉴于税收条款要求保留部分用户数据 10 年，他对此类行动的合法性提出了质疑。

高捷还指出，数据泄露事件一直在稳步增加，这不单单是一个加密行业的问题。

他说:“黑客攻击和数据泄露的问题，与其说是是否会发生的问题，还不如说是何时发生的问题。”

迅速解决

加密货币交易员斯科特·梅尔克(Scott Melker)让 JCD 联系了网络安全公司 Efani 的首席执行官哈西布·阿万(Haseeb Awan)，该公司专注于防止 SIM-swap 攻击。对于 SIM 卡，Efani 提供了 11 层认证，但当用户想要更换 SIM 卡时，每个账户都至少有 7 个认证步骤。

阿万帮助 JCD 迅速保护了他的号码和密码。JCD 说，如果他不这么做，“可能会造成更多的伤害。”

这次 Ledger 数据泄露事件，我们注意到受害者求助热线的电话数量至少增加了 10 倍，我们预计随着假期的临近，由于现有运营商无法为受害者提供支持，求助电话数量还会继续增长，”阿万说道。“犯罪分子通常会在下班时间或假日期间进行攻击，因为受害者通常不会注意自己的手机，而且由于假日的关系，他们也无法获得网络支持。”

阿万说，这份泄露名单是犯罪分子潜在目标的蜜罐，将在未来几个月用于不同类型的攻击。最常见的可能包括 SIM-swap 或电子邮件攻击。他说，身份盗窃或访问他人家庭地址的风险较低。

洛普说，他从这次数据泄露中得到的最大启示是 “信息若想要免费存储。就根本不可能保证你存储的任何数据不会泄露。”

他说，防止数据泄露的唯一万无一失的方法就是从一开始就不收集数据。第二种最好的选择是只在需要的时候保存数据，在使用完后自动清除数据，高捷说 Ledger 正在研究这一点。

洛普补充说，出于市场营销的目的，长期持有电子邮件地址是完全可以理解的，但一旦送货完成，退货时间窗口过期，还持有客户的姓名、物理地址和电话号码就很难证明是合理的了。

还好情况不是最糟的：泄露的数据只来自过去一两年的订单，而不是 2014 年 Ledger 发布第一款产品时的全部订单历史。

洛普说：“不要收集你保护不了的东西。个人信息应该像有毒垃圾一样被处理，如果你必须为商业目的收集一些可识别个人身份的信息，请尽快清除这些信息，以便在任何时间将你手头的数据量降至最低。”