硬體錢包公司 Ledger 僱用了熱門的電商平台 Shopify 來管理其冷錢包的銷售。Shopify 為 Ledger 提供了一整套服務,包括支付、市場行銷、運輸。然而,Ledger 發現這種合作關係使他們付出了代價。
(前情提要:Ledger遭駭追蹤|用戶遭歹徒威脅「不付錢,就入侵你家」,執行長「只道歉,不賠償」)
市值高達 1400 億美元的加拿大跨國電商 Shopify 先前的資安漏洞已經洩漏了與其合作約 200 個商家底下的客戶個資。冷錢包供應商 Ledger 也同樣遭到波及,此次是 Ledger 用戶個資近期內遭受的第二次攻擊。
Ledger 去年底就已有 27 萬個用戶的個資被竊取,用戶的交易細節、手機號碼、郵件帳號、居住地址都被駭客公開在網路上。儘管 Shopify 這次大多的數據外洩與 Ledger 去年所洩漏的資料相同,但這次還造成了額外的 2 萬多條用戶記錄外洩。
Shopify 表示去年 9 月,公司內部的兩名「無良」員工從大約 200 個合作的商家竊取了底下客戶 4 月到 6 月的交易記錄。這些資料後來洩漏在網路論壇上,並被用來對數千名消費者發起網路釣魚攻擊。弔詭的是,此事件於去年 9 月 22 日便曝光,但是 Ledger 表示他們在去年 12 月 23 日才知情此事。
延伸閱讀:Ledger爆資安危機!駭客網站公開超過27,000名客戶隱私訊息,源自6月數據洩漏事件
Ledger 在官方推特寫道:
「近期,我們都會將資安問題報告給大家。去年 12 月 23 日,我們被電商合作夥伴 Shopify 告知,去年四月到六月,他們的無良員工外洩了與電商合作的商家底下的用戶資料。 Ledger 也包含其中。」
Recently, we shared news of a data dump. On December 23, we were alerted by our e-commerce provider Shopify about an incident in April & June '20 where their rogue team members exported merchants' customer databases. Ledger was included. More details: https://t.co/NHU3IbDL0a pic.twitter.com/DHQQ9arxCu
— Ledger (@Ledger) January 13, 2021
Ledger 的後續處理
對此,Ledger 也宣布了未來他們會改變處理客戶資料的方式,讓客戶個資盡量不要長時間儲存在數據庫中。 此外,Ledger 表示他們會從訂單確認電子郵件中刪除敏感資料,以避免電商平台未來的資安漏洞。同時,他們將在自家應用程式 Ledger Live 中增加一個訊息傳輸的機制,以減少與客戶使用電子郵件溝通。
目前,Ledger 正與美國聯邦調查局(FBI)聯手調查資案洩漏的案件,而法國檢方也已經對 Shopify 的內部人員提起控訴。與此同時,Ledger 也與提供區塊鏈數據分析的公司 Chainalysis 合作,追蹤網路釣魚詐騙者的錢包。除此之外,Ledger 也與另一家提供類似服務的公司 Corsearch 關閉現有的釣魚網站,目前已成功關閉了 216 個網站。
雖然駭客的活動已受到調查,但網路釣魚攻擊及勒索威脅仍持續困擾著 Ledger 的用戶。有鑑於此,Ledger 提供了 10 枚比特幣作為懸賞金,相當於 38 萬美元,支付給任何可以對該案提供進一步線索的人。
多 2 萬名受害者
Ledger 已與維護網路安全的服務商 Orange Cyberdefense 合作,發現實際上有 292,000 名用戶受到影響,比先前的 27 萬足足多了 2 萬個用戶。
由於駭客先前於網上公開了許多用戶的個資細節,導致有些用戶可能一天內會收到許多威脅信件。比如,推特用戶 Riku Raisanen 就公開了他所收到的威脅訊息。
歹徒恐嚇用戶,在信中寫道:
「我從資料上得知你持有許多加密資產,我剛好也住在 XX 城市。我需要你知道,我大可入侵你家,但我寧可事情不要變得那麼複雜。我現在給你個選擇,給我 500 美元,我就離你遠遠的。考量到最近加密貨幣漲那麼多,500 元應該不多。」
Wouldn't want to be a Ledger customer right now 👇 pic.twitter.com/wZoH3OwTLL
— @[email protected] (@btcriku) December 21, 2020
Ledger 個資外洩事件持續延燒。
📍相關報導📍
交易所恐成下個Ledger未爆彈?美國政府一昧追求「加強KYC」衍伸的個資外洩風險
瑞波|冷錢包 Ledger 驚傳大規模釣魚攻擊,駭客已盜走「28 萬美元 — 115萬顆 XRP」
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
