QCon 演讲火热征集中,快来分享技术实践与洞见! 了解详情
写点什么

27 万用户数据泄露,CEO:不会赔偿、不要把威胁当真

  • 2020-12-23
  • 本文字数:2007 字

    阅读完需:约 7 分钟

27万用户数据泄露,CEO:不会赔偿、不要把威胁当真

12 月 21 日,黑客网站 Raidforums 公开了从硬件钱包制造商 Ledger 中窃取的 100 多万封客户电子邮件。Ledger 随后表示“确实可能是我们 2020 年 6 月电子商务数据库的内容”。Ledger 公司估计目前已经有 27 万用户的姓名、配送地址以及电话号码等敏感信息被泄露在网上。


网络安全网站 haveibeenpwned.com 称,从最初的黑客攻击开始,该数据库中 69% 的地址已经被泄露。


Ledger CEO:不会做出任何赔偿


Ledger 公司推出的加密钱包,可接入计算机以访问加密货币账户。黑客最初的攻击目标是 Ledger 营销和电子商务数据库,这意味着只涉及联系人和订单的详细信息。攻击中没有暴露任何财务信息、恢复语句或密钥。Ledger 市场营销副总裁 Benoit Pellevoizin 警告说,泄露的信息可能会被用于网络钓鱼攻击,以试图欺骗 Ledger 客户交出其私钥。


Ledger 发布推文强调,即使有人自称 Ledger 工作人员,用户也切勿与任何人共享密钥。该公司还建立了一个 网页,用户可以在其中报告网络钓鱼攻击的详细信息。


但该公司态度依然强硬。Ledger 公司 CEO Pascal Gauthier 今天表示,该公司不会对个人数据意外泄露的客户做出任何赔偿。


Gauthier 在采访中表示,“我们的公司体量太小,无法针对上百万用户做出全面补偿,这根本不现实。相反,我们只能着眼于未来。Ledger 公司目前正投入大量时间与资金以构建新的安全层,努力为用户带来更多更为安全的产品。”


根据相关报道,这批敏感数据的外泄导致网络钓鱼攻击出现进一步升级。在此之前,已经有不少钓鱼邮件要求 Ledger 用户下载恶意链接并提交私钥,借此窃取其加密货币。如今,新的邮件则提醒用户其姓名及地址已遭窃取,因此除非支付赎金,否则攻击者可能会“登门拜访”、直接窃取加密货币。


Gauthier 指出,“这只是网上常见的骗局,旨在恐吓普通用户。攻击者总爱使用这类伎俩,但真正的上门行动成本高昂、根本就不现实。”


很明显,这位高管是在劝受害者们不要把威胁当真。


“即使有这种可能性——虽然可能性很低很低,大家也不用太过惊异。数据库入侵事件实际发生在今年 6 月,而迄今为止还没有任何关于相关攻击的报告。”


Gauthier 辩称,欺诈者一直很重视成本,因此才更倾向于用广撒网式的网络钓鱼攻击接触大量客户,而非选取一少部分进行针对性攻击。


Gauthier 提到,客户们用不着急转移。当然,客户也不应把私钥留在自己家中,特别是考虑到私钥对应着数额巨大的加密货币这一现实情况。“您会在家里存放上百万美元现金吗?如果数额达到这个级别,就不该这么大意。”Ledger 公司还建议用户将私钥存储在其他人无法访问的安全位置。


目前,已有很多 Ledger 用户公开表态,要对 Ledger 提起集体诉讼。而对此,Ledger 则回应称,官方一直在与执法部门合作起诉黑客,并阻止一些诈骗者。


另外,Reddit 用户“u/relephants”表示,一些在 6 月的信息泄露事件中受害的 Ledger 用户已经收到威胁性的电子邮件,邮件要求他们支付 500 美元,否则将有遭受人身攻击的风险。


责任不在 Ledger 公司?


Gauthier 可能没有在自己家里遭到袭击,但 Casa CTO Jameson Lopp 对个人安全问题很有发言权。2017 年,他在家中遭到特警殴打。之后,他用了不少时间和精力隐藏起行迹,甚至花了 5000 美元雇佣私家侦探,想看看对方能不能追踪到他(结果是追踪不到)。


Lopp 在采访中表示,“黑客入侵是不可避免的。从本质上讲,信息是免费的,一切存储有大量信息的服务平台都出现过这类问题,特别是有价值的个人身份信息。我们也没法指望身份泄露事件能在一夜之间彻底消失。”


Lopp 强调,企业应该尽可能尝试删除此类数据(但这方面工作在欧洲 GDPR 条例的冲击下恐怕难以实施)。


关于威胁性网络钓鱼攻击,他认为“其中大部分确实只是口头恐吓,并不会付诸实际行动。”


但他也提到,欺诈分子确实可能对某些重要目标发动此类攻击。上门盗窃风险很高,所以攻击者会首先进行大量调查取证,了解哪些客户拥有豪车大宅。


Lopp 表示,“但这确实可能成为新一波物理攻击的催化剂或者说转折点。未来,也许会有更多人开始认真关注自己的隐私信息。”


他还补充道,受到影响的客户应权衡自身实际情况, 并决定采取哪些措施以保护身份数据。“总之,如果您的大部分资产都以加密货币为承载形式,而且在以易受物理攻击影响的方式保护这些资产,那么您就很容易蒙受损失。一旦私钥外泄,只需点击几下按钮,就能强制转移您的大部分甚至全部财富。”


他还建议符合上述情形的客户们着重关注人身安全,毕竟现实盗窃确实有发生的可能。


Lopp 指出,客户们确实不应该把黑客攻击的责任归咎于 Ledger 公司。大家在使用当中,本该使用邮箱甚至企业地址来增强隐私性,但既然使用了个人真实住址、就该为此承担责任。


“所以,人们因此要求退款真的很荒谬。Ledger 的产品没有问题,据我们所知,这些产品仍然安全可靠。是使用这些产品的人出了问题,这完全是两码事。”Lopp 表示。


延伸阅读:


https://decrypt.co/52215/ledger-wont-reimburse-users-after-major-data-hack


2020-12-23 09:051895

评论

发布
暂无评论
发现更多内容

基于Java+SpringBoot+Vue前后端分离婚纱影楼管理系统设计和实现

hunter_coder

后端开发

基于Java+SpringBoot+vue前后端分离共享汽车管理系统设计实现

hunter_coder

后端开发

AI视界周刊第2期:Llama 3.1 开源、AI 训 AI,越训越傻、AI 搜索重燃战火

战场小包

人工智能 AI 资讯

状态码全知道:淘宝/天猫商品搜索API的调试秘籍

技术冰糖葫芦

API API 文档 API 优先

AppsFlyer 发布最新游戏 App 营销现状报告:中国游戏出海市场正在重拾增长,混合变现引领新潮流

财见

如何挑选适合您团队的项目进度管理网站

爱吃小舅的鱼

项目进度管理

TVL 破 3 亿美元的 Pencils Protocol,缘何持续盈利?

石头财经

待办事项软件全指南:7款不可或缺的工具

爱吃小舅的鱼

待办事项管理 待办事项工具 待办事项软件

顶级工时软件对比:哪款最适合您?

爱吃小舅的鱼

工时管理 工时管理系统

AI 应用实战营 - 作业 九 - 图像流

德拉古蒂洛维奇

基于Java+SpringBoot+Vue前后端分离公交线路查询系统设计和实现

hunter_coder

后端开发

基于Java+SpringBoot+vue前后端分离华强北商城二手手机管理系统设计实现

hunter_coder

后端开发

WorkPlus:每个企业都需要一个安全、自主、可控的移动平台

BeeWorks

【推荐】Singbox全局代理配置文件节点购买与订阅指南

Geek_2d6073

研发团队必备:顶级工时管理系统推荐

爱吃小舅的鱼

工时管理 工时管理系统

项目进度管理:2024年8款顶级软件

爱吃小舅的鱼

项目进度管理 项目进度管理软件

基于Java+SpringBoot+Vue前后端分离公寓报修管理系统设计和实现

hunter_coder

后端开发

基于Java+SpringBoot+Vue前后端分离华府便利店信息管理系统设计和实现

hunter_coder

后端开发

基于Java+SpringBoot+vue前后端分离欢迪迈手机商城设计实现

hunter_coder

后端开发

TVL 破 3 亿美元的 Pencils Protocol,正在持续盈利!

BlockChain先知

Clash猫和SingBOX的节点购买与订阅指南

Geek_2d6073

定制化即时通讯企业级移动门户解决方案,WorkPlus IM系统让工作事半功倍

BeeWorks

基于Java+SpringBoot+vue前后端分离古典舞在线交流平台设计实现

hunter_coder

后端开发

私有化部署即时通讯是什么,全文解读

BeeWorks

基于Java+SpringBoot+Vue前后端分离火车票订票系统设计和实现

hunter_coder

后端开发

TVL 破 3 亿美元的 Pencils Protocol,正在持续盈利!

加密眼界

国内程序员远程工作平台合集,灵活工作新选择

南城FE

前端 后端 远程工作

TVL 破 3 亿美元的 Pencils Protocol,缘何持续盈利?

股市老人

商品详情描述:API返回值中的详细信息字段

技术冰糖葫芦

API 文档 API 测试 API 优先 API Hub

精选:2024年值得关注的9款项目成本管理系统

爱吃小舅的鱼

项目管理 项目管理工具 项目管理软件 项目成本管理

27万用户数据泄露,CEO:不会赔偿、不要把威胁当真_区块链_Tim Copeland_InfoQ精选文章