【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

27 万用户数据泄露,CEO:不会赔偿、不要把威胁当真

  • 2020-12-23
  • 本文字数:2007 字

    阅读完需:约 7 分钟

27万用户数据泄露,CEO:不会赔偿、不要把威胁当真

12 月 21 日,黑客网站 Raidforums 公开了从硬件钱包制造商 Ledger 中窃取的 100 多万封客户电子邮件。Ledger 随后表示“确实可能是我们 2020 年 6 月电子商务数据库的内容”。Ledger 公司估计目前已经有 27 万用户的姓名、配送地址以及电话号码等敏感信息被泄露在网上。


网络安全网站 haveibeenpwned.com 称,从最初的黑客攻击开始,该数据库中 69% 的地址已经被泄露。


Ledger CEO:不会做出任何赔偿


Ledger 公司推出的加密钱包,可接入计算机以访问加密货币账户。黑客最初的攻击目标是 Ledger 营销和电子商务数据库,这意味着只涉及联系人和订单的详细信息。攻击中没有暴露任何财务信息、恢复语句或密钥。Ledger 市场营销副总裁 Benoit Pellevoizin 警告说,泄露的信息可能会被用于网络钓鱼攻击,以试图欺骗 Ledger 客户交出其私钥。


Ledger 发布推文强调,即使有人自称 Ledger 工作人员,用户也切勿与任何人共享密钥。该公司还建立了一个 网页,用户可以在其中报告网络钓鱼攻击的详细信息。


但该公司态度依然强硬。Ledger 公司 CEO Pascal Gauthier 今天表示,该公司不会对个人数据意外泄露的客户做出任何赔偿。


Gauthier 在采访中表示,“我们的公司体量太小,无法针对上百万用户做出全面补偿,这根本不现实。相反,我们只能着眼于未来。Ledger 公司目前正投入大量时间与资金以构建新的安全层,努力为用户带来更多更为安全的产品。”


根据相关报道,这批敏感数据的外泄导致网络钓鱼攻击出现进一步升级。在此之前,已经有不少钓鱼邮件要求 Ledger 用户下载恶意链接并提交私钥,借此窃取其加密货币。如今,新的邮件则提醒用户其姓名及地址已遭窃取,因此除非支付赎金,否则攻击者可能会“登门拜访”、直接窃取加密货币。


Gauthier 指出,“这只是网上常见的骗局,旨在恐吓普通用户。攻击者总爱使用这类伎俩,但真正的上门行动成本高昂、根本就不现实。”


很明显,这位高管是在劝受害者们不要把威胁当真。


“即使有这种可能性——虽然可能性很低很低,大家也不用太过惊异。数据库入侵事件实际发生在今年 6 月,而迄今为止还没有任何关于相关攻击的报告。”


Gauthier 辩称,欺诈者一直很重视成本,因此才更倾向于用广撒网式的网络钓鱼攻击接触大量客户,而非选取一少部分进行针对性攻击。


Gauthier 提到,客户们用不着急转移。当然,客户也不应把私钥留在自己家中,特别是考虑到私钥对应着数额巨大的加密货币这一现实情况。“您会在家里存放上百万美元现金吗?如果数额达到这个级别,就不该这么大意。”Ledger 公司还建议用户将私钥存储在其他人无法访问的安全位置。


目前,已有很多 Ledger 用户公开表态,要对 Ledger 提起集体诉讼。而对此,Ledger 则回应称,官方一直在与执法部门合作起诉黑客,并阻止一些诈骗者。


另外,Reddit 用户“u/relephants”表示,一些在 6 月的信息泄露事件中受害的 Ledger 用户已经收到威胁性的电子邮件,邮件要求他们支付 500 美元,否则将有遭受人身攻击的风险。


责任不在 Ledger 公司?


Gauthier 可能没有在自己家里遭到袭击,但 Casa CTO Jameson Lopp 对个人安全问题很有发言权。2017 年,他在家中遭到特警殴打。之后,他用了不少时间和精力隐藏起行迹,甚至花了 5000 美元雇佣私家侦探,想看看对方能不能追踪到他(结果是追踪不到)。


Lopp 在采访中表示,“黑客入侵是不可避免的。从本质上讲,信息是免费的,一切存储有大量信息的服务平台都出现过这类问题,特别是有价值的个人身份信息。我们也没法指望身份泄露事件能在一夜之间彻底消失。”


Lopp 强调,企业应该尽可能尝试删除此类数据(但这方面工作在欧洲 GDPR 条例的冲击下恐怕难以实施)。


关于威胁性网络钓鱼攻击,他认为“其中大部分确实只是口头恐吓,并不会付诸实际行动。”


但他也提到,欺诈分子确实可能对某些重要目标发动此类攻击。上门盗窃风险很高,所以攻击者会首先进行大量调查取证,了解哪些客户拥有豪车大宅。


Lopp 表示,“但这确实可能成为新一波物理攻击的催化剂或者说转折点。未来,也许会有更多人开始认真关注自己的隐私信息。”


他还补充道,受到影响的客户应权衡自身实际情况, 并决定采取哪些措施以保护身份数据。“总之,如果您的大部分资产都以加密货币为承载形式,而且在以易受物理攻击影响的方式保护这些资产,那么您就很容易蒙受损失。一旦私钥外泄,只需点击几下按钮,就能强制转移您的大部分甚至全部财富。”


他还建议符合上述情形的客户们着重关注人身安全,毕竟现实盗窃确实有发生的可能。


Lopp 指出,客户们确实不应该把黑客攻击的责任归咎于 Ledger 公司。大家在使用当中,本该使用邮箱甚至企业地址来增强隐私性,但既然使用了个人真实住址、就该为此承担责任。


“所以,人们因此要求退款真的很荒谬。Ledger 的产品没有问题,据我们所知,这些产品仍然安全可靠。是使用这些产品的人出了问题,这完全是两码事。”Lopp 表示。


延伸阅读:


https://decrypt.co/52215/ledger-wont-reimburse-users-after-major-data-hack


2020-12-23 09:051677

评论

发布
暂无评论
发现更多内容

Zepoch节点单日内售罄,市场反响颇高

EOSdreamer111

2022-10-14:以下go语言代码输出什么?A:0;B:7;C:9;D:不能编译。 package main import “fmt“ func main() { a := []int

福大大架构师每日一题

golang 福大大 选择题

Clickhouse:delete提交成功,数据还在

Ken

Clickhouse

正在消失的机器视觉公司

脑极体

挑战30天学完 Python:Day4数据类型-字符串str

MegaQi

挑战30天学完Python 10月月更

Python进阶(二十二)Python3使用PyMysql连接mysql数据库

No Silver Bullet

Python3 MySQL数据库 pymysql 10月月更

如何快速对混合云环境进行安全合规检查

HummerCloud

云安全 上云合规 安全合规检测 10月月更

微信朋友圈架构图

Johnny

架构实战训练营9期

大数据ELK(二十五):添加Elasticsearch数据源

Lansonli

elasticsearch 10月月更

「趣学前端」日常浏览的页面是怎么实现出来的

叶一一

JavaScript 前端 10月月更

一个实际的例子学习 SAP BTP Java 应用的 @Before 注解使用方式

Jerry Wang

Java 云原生 Cloud SAP 10月月更

测试需求平台5-Blueprint优化与首个vue页搭建

MegaQi

测试平台开发教程 10月月更

跟着卷卷龙一起学Camera--DNG格式

卷卷龙

ISP camera 10月月更

Spring Batch 可以在一个 Step 中有多个 Tasklet 吗

HoneyMoose

【LeetCode】两个链表的第一个重合节点Java题解

Albert

算法 LeetCode 10月月更

Python进阶(二十三)Django使用pymysql连接MySQL数据库做增删改查

No Silver Bullet

Python django MySQL数据库 pymysql 10月月更

首轮Zepoch节点已售罄完结,你期待次轮吗?

鳄鱼视界

什么是Scrum?Scrum的核心要点和精髓

laofo

Scrum 研发效能 敏捷研发

Java三大特性(一)—封装

共饮一杯无

Java 面向对象 10月月更

Photoshop软件应用项目(二)

张立梵

设计师 ps 10月月更

树莓派4B安装64位Linux(不用显示器键盘鼠标)

程序员欣宸

树莓派 10月月更

Spring之核心容器

楠羽

笔记 SP【ring 10月月更

跟着卷卷龙一起学Camera--双摄02

卷卷龙

ISP camera 10月月更

「趣学前端」给不懂技术的朋友简单演示,代码是怎么被编写出来的

叶一一

JavaScript 前端 10月月更

Java基础(六)| Debug模式及基础练习

timerring

Java debug 10月月更

什么是数据产品经理?数据产品经理与传统产品经理有什么区别?

雨果

数据产品经理

「CSS畅想」周期性事情怕忘,来看看一个月内都安排在哪天

叶一一

CSS JavaScript 前端 10月月更

PriorityQueue源码解析(一)

知识浅谈

Priority Queue 10月月更

跟着卷卷龙一起学Camera--双摄01

卷卷龙

ISP camera 10月月更

Spring Batch 事务限制

HoneyMoose

有人意图取代SQL,你同意吗?

雨果

sql

27万用户数据泄露,CEO:不会赔偿、不要把威胁当真_区块链_Tim Copeland_InfoQ精选文章