加密货币硬体钱包制造商 Ledger 近日证实其第三方电商合作伙伴 Global-e 发生客户资料外泄事件,导致部分透过官方线上商城购买冷钱包产品的客户个资被窃取,事件曝光后,引发加密货币社群对冷钱包与硬体钱包的安全性产生疑虑。
客户私钥未外泄、但用户姓名与联络方式被窃取
根据 Ledger 说明,此次事件未涉及私钥、钱包内资金或支付资讯,但外泄资料包含用户姓名与联络方式。安全研究人员指出,这类资讯一旦落入恶意人士手中,仍可能被用于针对性诈骗、社会工程攻击,甚至带来现实层面的威胁 (像是打劫)。在资料外泄消息传出后数小时内,已有用户回报收到大量钓鱼邮件与诈骗讯息。攻击者还冒充 Ledger 或 Global-e 客服人员,利用外泄的个人资讯建立信任感,以「帐户异常」、「设备需要更换」等说法施压,诱导用户提供敏感资料。这并非 Ledger 首次遭遇资料外泄。2020 年,该公司曾发生影响近 30 万名用户的大规模资料泄露事件;2021 年,诈骗者更曾在钓鱼攻击中寄送伪造的 Ledger 硬体钱包。安全研究人员指出,过往事件后,确实出现钱包遭盗、财务损失,甚至在极端情况下引发针对持币者的实体暴力威胁。
专家表示防范社会工程学与保护个资最重要
专家表示,风险并不仅限于资料被列入外泄名单的用户。任何被外界认知为持有硬体钱包或加密资产的人,都可能成为钓鱼或社会工程攻击的目标。Zengo Wallet 执行长、钱包安全专家 Ouriel Ohayon 指出个资外泄的用户已成为明确目标,所承担的风险将会更高,而客户服务人员主动联系本身就是一个危险讯号,永远不要与任何人分享助记词或是其他个资,用户应该验证电子邮件的实际寄件者,避免回复未经请求的私讯或透过非官方管道,尤其是电子邮件、即时通讯应用甚至纸本信件收到的「客户服务讯息」。
ENS 首席资讯安全长 Alexander Urbelis 则提醒,外泄资料的类型会影响威胁程度,其中实体住址尤其敏感。一旦家庭地址与硬体钱包使用者身分产生连结,潜在风险将显著上升。
是否需要转移资金或更换钱包?
专家警告不要因为恐慌而急著进行链上操作,转移资金不一定能降低风险,如果用户仓促行事,反而可能带来新的危险,一旦被识别为钱包所有者,加密货币储存在哪里就无关紧要了。攻击者的目标已经是个人,而不是钱包本身,转移资金有时可能会适得其反,因为资金转移是公开的,骇客也会追踪到线索。在目前针对 Ledger 用户的诈骗手法中,攻击者多半不依赖技术漏洞,而是透过心理操纵,诈骗者会先使用真实姓名或订单细节建立可信度,再透过制造紧急情境迫使用户迅速回应,平常就保护好自己的个资,碰到状况时 Don’t Trust, verify 是最好的方式面对潜在攻击。
这篇文章 Ledger 客户资料外泄后的防范措施,专家提醒隐私防护最重要 最早出现于 链新闻 ABMedia。
