TIX:泄露数十万用户信息，硬件钱包Ledger遭遇信任危机_iBTC (Synthetix)

用你的钱包投票。

Ledger已经失去了用户的信任。

7月份泄露的客户信息，早已提供给那些愿意付出代价的人，而现在，这些信息是免费的。

昨晚，有人在raidforums上发布了Ledger的272853名客户及1075382名电子邮件用户的名单及信息，这让一些论坛用户感到沮丧。

2020年7月，一名研究人员在参与Ledger漏洞悬赏计划时，发现了一个潜在的攻击向量，后来，人们发现这一攻击向量已被利用。随后，Ledger宣布称其网站遭到了攻击：

Eureka Trading创始人：去年因私钥泄露被盗1500万美元，愿向协助追回者提供报酬:4月17日消息，加密衍生品交易公司Eureka Trading创始人Kuan Sun表示：去年6月本人因为私钥泄露，被黑客盗取资金1500万美金，目前虽然有了一些初步的IP等信息，但是还未能确定黑客的身份，希望有能力提供有价值线索的人士或者单位能够协助追回，可以提供报酬。黑客地址：0xa1ac23be458e14ac0a0003dc1343d2ac575ea3b6。至少20%的资金会被用来当做报酬，具体比例视乎贡献程度。所以至少是300万美金的报酬，有能力的都可以试试。[2023/4/17 14:07:44]

“未经授权的第三方通过API密钥访问了我们的电子商务和市场数据库的一部分。”

腾讯基于区块链身份认证专利获授权 可避免个人信息泄露:金色财经消息，天眼查App显示，近日，腾讯科技（深圳）有限公司申请的“基于区块链的身份认证方法、装置、存储介质和设备”专利获授权。

摘要显示，本方法包括：接收用户的服务请求，根据服务请求得到用户的授权信息，从区块链中搜索与授权信息对应的目标区块，从目标区块中获取与授权信息对应用户的注册数据，当授权校验通过时，调用服务请求对应的智能合约，由智能合约执行声明的身份认证逻辑，基于注册数据得到身份认证结果，反馈身份认证结果。本申请中，对于服务提供方来说，不会直接接触到用户的身份信息，只有在用户授权的前提下，才能得到或使用区块链反馈的身份认证结果，对用户来说，可以避免用户直接向商家提供身份信息，从源头上避免了用户个人信息泄露的问题。[2022/8/26 12:50:57]

根据报道称，泄露的数据信息以近六位数的价格被出售了，这证明了这些个人信息的价值，而无论是谁在支付这些信息，他们都是为了从中获利。

泄露数据表明南非投资公司MTI为多层级营销局，创始人否认指控:南非组织“Anonymous ZA”发布新信息，似乎支持长期以来的指控，即Mirror Trading International（MTI）正在实施多层级营销局。据报道，在MTI内部系统遭到破坏后获得的新信息显示，该投资公司“完全是围绕着一个树形/金字塔计划构建的”。泄露的数据表明MTI有区分“普通会员和创始人会员”的做法。该报告证实，会员是通过付费招募新会员的，但未能提供创始会员的数量。

MTI创始成员之一兼发言人Cheri Marks回应称，9月18日发生的违规事件幕后黑手犯下了刑事罪。她威胁要对犯罪人以及那些根据非法获得的信息发表故事的人采取法律行动。她随后攻击了MTI停止交易的假设，声称“8月份提款34000余笔，金额达5933比特币，而且没有出现任何问题。”Marks还挑战媒体，让他们从“17万名使用MTI的比特币投资者”中找出一名不满的投资者。然而，Marks未能充分应对创始人可能获得比其他投资者更多回报的担忧。相反，其选择夸耀自己的创始人身份。

据此前报道，德州证券监管机构指控MTI为多层级营销局，命令其停止运营。（Bitcoin.com）[2020/9/22]

由于这些信息现在可自由访问，有用户报告称，网络钓鱼的尝试增加了。而在接下来的几个月里，我们预计这种行为将继续增长，因此，如果听说有人因为这种数据泄露而遭到物理攻击，也就不足为奇了。

韩国法院裁定Bithumb对2017年数据泄露事件需承担部分责任:根据韩国首尔中央地方法院民事协议第16庭的裁定，Bithumb被认为对2017年的数据泄露事件负有部分责任，该数据泄露导致客户损失了2.72万美元。根据法院文件，Bithumb需向该受害者支付超过5000美元的赔偿金。同时，在另外两项独立且规模更大的索赔中，Bithumb被免除了责任。（Cryptonews）[2020/9/2]

最坏的情况下，泄露的个人信息可能会导致物理攻击或入室盗窃。

最初，Ledger告诉我们，已被公开数据的用户数有9500名，其中包括他们的姓名、邮政地址以及电话号码。现在，我们发现这个数字实际接近了227,000。

Ledger是否故意掩盖了事件的严重性？

我们采访了Ledger的代表，其提供了以下声明：

我们仍在调查这一持续存在的问题，泄露的内容可能是Ledger的电子商务数据库，该数据库在2020年6月份时遭到泄露。者可能使用此数据库通过电子邮件和短信活动来进行网络钓鱼攻击。

我们的客户支持团队一直在努力通过Twitter通知用户，并回答问题，同时还报告包含数据库链接的所有推文和Reddit帖子。我们敦促所有用户不要分享他们的助记词，并且要记住，团队不会要求用户提供私人信息。

自2020年6月发现数据泄露事件以来，我们与外部安全组织合作进行了取证审查。这次审查确认，只有9500名个人受到影响，Ledger支持人员亲自联系了所有受影响的用户。自网络钓鱼攻击开始发生以来，我们预计会有更多信息泄漏，并继续通过Twitter和电子邮件通知所有用户。

我们正在竭尽全力阻止这些攻击并避免将来发生这种情况。Ledger采取了一系列措施来保护我们的用户，使其免受沦为网络钓鱼攻击的受害者。我们已经建立了一个网页，共享网络钓鱼攻击的解剖结构，以便用户避免掉入网络钓鱼并报告任何新的攻击：https://www.ledger.com/phishing-campaigns-status

对于这种情况，我们深表遗憾，我们的团队正在努力制止者，并恢复社区对我们的信任。我们从一开始就对这一问题持开放和透明的态度，并将在信息发布后继续响应任何新的发展。我们正在继续分析这些数据，并将继续提供更新。

第三方存储用户信息的问题

这种情况显示了依赖第三方来存储我们的信息的问题。

随着Web3.0的发展，Web2.0的问题变得越来越明显。线下公司的强制遵守减慢了我们的进度，并使我们的信息处于危险之中。

尽管存在已知的集中存储风险，我们仍被迫将我们的数据委托给这些公司。像Ledger这样的公司仍在旧世界与新世界之间挣扎，其无法或者不愿意实施零知识证明这样的技术来保护他们的数据库。

不仅仅是犯罪世界热衷于查看这些信息，在欧洲，已经有一些案例表明，一些官员购买了瑞士银行客户的数据，以帮助他们进行税务欺诈调查。

GDPR的严格框架被这一数据泄露所抹杀。要求删除数据的客户似乎被忽视了，甚至被了。

有一位Ledger客户这样告诉我们：

在2020年5月份，我给他们发了一封电子邮件，要求他们从多个订单中删除关于我的任何数据。我在邮件中引用了GDPR，他们回答说：“谢谢你联系我们，我们会尽快完成的。”

随着这次信息泄露，我进行了交叉检查，发现自己的大量数据都被泄露了

Ledger应确保在设定的时间后自动删除个人数据。

是Ledger不称职，忽视了这些要求，还是其不够诚实？

这些现在都已经不重要了，发生的一切都无法改变。

数据泄露没有治愈方法，唯一的解决办法就是预防。

标签：SYNTHESynthetixTIXSYNCMagicTheLeagueCoiniBTC (Synthetix)Infomatix

火币交易所热门资讯