用你的钱包投票。
Ledger已经失去了用户的信任。
7月份泄露的客户信息,早已提供给那些愿意付出代价的人,而现在,这些信息是免费的。
昨晚,有人在raidforums上发布了Ledger的272853名客户及1075382名电子邮件用户的名单及信息,这让一些论坛用户感到沮丧。
2020年7月,一名研究人员在参与Ledger漏洞悬赏计划时,发现了一个潜在的攻击向量,后来,人们发现这一攻击向量已被利用。随后,Ledger宣布称其网站遭到了攻击:
LSD协议unshETH的合约部署私钥被泄露,已紧急暂停提款并联系黑客:6月1日消息,LSD协议unshETH发推表示,5月31日22:00左右,unshETH合约的其中一个部署私钥被泄露。出于谨慎起见,官方紧急暂停了unshETHETH的提款,根据我们的安全模型,unshETHETH存款(TVL达3500万美元)由多重签名+时间锁保护,并不处于风险之中。
此外一些附属协议合约(农场、跨链桥等)已经受到了攻击,正在与来自Coinbase、Stargate、Paladin Blockchain Security、Github以及ogle等白帽安全专家合作,以确保用户资金的安全,并预计影响范围将受到限制。同时官方已经联系黑客,试图协商返还资金和合约所有权,以限制对现有用户的影响。
金色财经此前报道,据多位KOL发推表示,LSDFi项目unshETH的金库出现安全问题,提醒用户将资金转出。原因系合约Owner被篡改,已通知项目官方,但官方尚未做出回复。[2023/6/1 11:51:47]
“未经授权的第三方通过API密钥访问了我们的电子商务和市场数据库的一部分。”
以太坊基金会研究员披露质押以太坊或会泄露用户IP地址等信息:4月14日消息,以太坊基金会研究员Justin Drake透露,ETH质押者的IP地址作为元数据集的一部分受到了监控,导致加密社区将此视为以太坊的隐私问题。Drake称他在“内部”(或是在以太坊基金会)了解到这样的数据库,他解释称:“有很多元数据可被追踪到,你可以查看存款地址、提款地址、费用接收者、以及IP地址。”Drake还表示,这样的数据库可以抵御空投女巫攻击,也或可用于“特殊空投”,即把代币空投给单独质押者,而不是Kraken、Coinbase等机构,或者是某些特定的人。[2023/4/14 14:03:17]
根据报道称,泄露的数据信息以近六位数的价格被出售了,这证明了这些个人信息的价值,而无论是谁在支付这些信息,他们都是为了从中获利。
日本加密货币交易所Coincheck确认出现数据泄露:日本加密货币交易所Coincheck周二宣布遭遇数据泄露,可能泄露了用户的电子邮件和个人信息。
Coincheck表示,这些信息包括姓名、注册地址、出生日期、电话号码和selfie ID。从5月31日至6月1日,约有200名客户因邮件查询受到影响。目前,客户资产未受影响。
注:2018年1月,Coincheck曾遭遇黑客攻击,丢失近5亿美元的新经币(XEM)。(The Block)[2020/6/3]
由于这些信息现在可自由访问,有用户报告称,网络钓鱼的尝试增加了。而在接下来的几个月里,我们预计这种行为将继续增长,因此,如果听说有人因为这种数据泄露而遭到物理攻击,也就不足为奇了。
动态 | 加密货币交易所QuickBit确认泄露了用户数据 目前已采取安全措施:Atoz Markets消息,瑞典加密货币交易所QuickBit发布声明称,其数据库问题导致部分用户敏感数据被泄露。曝光的信息包括姓名、地址、电子邮件地址和信用卡信息,涉及用户数量占交易所用户总数的2%。然而,客户更为敏感的数据,如密码或社保号码、完整的账户或信用卡信息、加密货币或私钥或金融交易等都没有被泄露。 该交易所解释称,数据泄露的原因是使用了一款安全软件,而该软件的配置似乎与该交易所的系统不兼容。QuickBit表示,其IT专家已采取必要措施确保所有客户的数据安全,并承诺不久将在其网站上发布一份官方声明就此进行说明。此前消息,有报道称QuickBit疑似泄露了30万条用户记录。[2019/7/23]
最坏的情况下,泄露的个人信息可能会导致物理攻击或入室盗窃。
最初,Ledger告诉我们,已被公开数据的用户数有9500名,其中包括他们的姓名、邮政地址以及电话号码。现在,我们发现这个数字实际接近了227,000。
Ledger是否故意掩盖了事件的严重性?
我们采访了Ledger的代表,其提供了以下声明:
我们仍在调查这一持续存在的问题,泄露的内容可能是Ledger的电子商务数据库,该数据库在2020年6月份时遭到泄露。者可能使用此数据库通过电子邮件和短信活动来进行网络钓鱼攻击。
我们的客户支持团队一直在努力通过Twitter通知用户,并回答问题,同时还报告包含数据库链接的所有推文和Reddit帖子。我们敦促所有用户不要分享他们的助记词,并且要记住,团队不会要求用户提供私人信息。
自2020年6月发现数据泄露事件以来,我们与外部安全组织合作进行了取证审查。这次审查确认,只有9500名个人受到影响,Ledger支持人员亲自联系了所有受影响的用户。自网络钓鱼攻击开始发生以来,我们预计会有更多信息泄漏,并继续通过Twitter和电子邮件通知所有用户。
我们正在竭尽全力阻止这些攻击并避免将来发生这种情况。Ledger采取了一系列措施来保护我们的用户,使其免受沦为网络钓鱼攻击的受害者。我们已经建立了一个网页,共享网络钓鱼攻击的解剖结构,以便用户避免掉入网络钓鱼并报告任何新的攻击:https://www.ledger.com/phishing-campaigns-status
对于这种情况,我们深表遗憾,我们的团队正在努力制止者,并恢复社区对我们的信任。我们从一开始就对这一问题持开放和透明的态度,并将在信息发布后继续响应任何新的发展。我们正在继续分析这些数据,并将继续提供更新。
第三方存储用户信息的问题
这种情况显示了依赖第三方来存储我们的信息的问题。
随着Web3.0的发展,Web2.0的问题变得越来越明显。线下公司的强制遵守减慢了我们的进度,并使我们的信息处于危险之中。
尽管存在已知的集中存储风险,我们仍被迫将我们的数据委托给这些公司。像Ledger这样的公司仍在旧世界与新世界之间挣扎,其无法或者不愿意实施零知识证明这样的技术来保护他们的数据库。
不仅仅是犯罪世界热衷于查看这些信息,在欧洲,已经有一些案例表明,一些官员购买了瑞士银行客户的数据,以帮助他们进行税务欺诈调查。
GDPR的严格框架被这一数据泄露所抹杀。要求删除数据的客户似乎被忽视了,甚至被了。
有一位Ledger客户这样告诉我们:
在2020年5月份,我给他们发了一封电子邮件,要求他们从多个订单中删除关于我的任何数据。我在邮件中引用了GDPR,他们回答说:“谢谢你联系我们,我们会尽快完成的。”
随着这次信息泄露,我进行了交叉检查,发现自己的大量数据都被泄露了
Ledger应确保在设定的时间后自动删除个人数据。
是Ledger不称职,忽视了这些要求,还是其不够诚实?
这些现在都已经不重要了,发生的一切都无法改变。
数据泄露没有治愈方法,唯一的解决办法就是预防。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。