21日凌晨，网络安全公司 Hudson Rock 资讯长阿隆?加尔（Alon Gal）在推特发文表示，在骇客网站“突袭论坛”（RaidForums）上，有大量的冷钱包服务供应商 Ledger 的用户数据可供人“免费下载”。

　　初步统计，有超过 100 万名用户邮件账号，以及 27 万名买家的购买细节、手机号码、邮件账号、居住地址遭公开。虽然 Ledger 官方尚未清楚说明，但遭泄漏的用户个资很有可能来自于今年 6 月底遭骇客流出的 Ledger 内部电商数据。

　　加尔接着指出，由于 Ledger 买家通常是高净值加密资产人士，个资遭泄漏可能将这些人士暴露于多重风险，除了可能的邮件骚扰外，人身安全亦将面临极大威胁。

　　Ledger 在稍后间接证实了加尔说法，并在推特上回应，根据目前初步判断，遭泄露的数据很有可能是来自 Ledger 今年 6 月份的电商数据数据库；外媒《Coindesk》专栏作家 Nic Carter 则在推特上更新，确认部分遭泄漏个资有来自 2019 年以前的用户数据。

　　除了向用户深表遗憾，Ledger 也已经通知法国数据保护机构（CNIL），并正在与世界各地的数据保护机构合作；若用户担心遭受钓鱼邮件攻击，可以去 Ledger 网站查证最新的钓鱼攻击以避免上当。

　　Ledger 市场营销副总裁佩莱沃金（Benoit Pellevoizin）稍早向《Decrypt》表示，泄露的信息可能会被用于网络钓鱼攻击，企图诱骗 Ledger 客户交出其私钥。

　　佩莱沃金表示：

　　基本上，透过电子邮件，他们可以假冒 Ledger 官方，要求用户输入“助记词”，获取钱包权限，但 Ledger 官方从不会要求用户这样做。

　　最后，Ledger 团队再次向用户重申：绝对不要与任何人分享 24 个英文单字组成的“助记词”（recovery phase）；Ledger 团队永远不会要求用户提供备份短语，也不会以文字简讯或是电话联系。

　　在 Ledger 数据库遭骇消息传出之后，已有多名用户表示自己已成为网络钓鱼攻击目标；其中部分用户收了到类似官方发出的钓鱼信件，被要求下载新版本加密钱包软件。

　　Ledger 恐面临用户集体提告

　　今年五月底，Ledger 和另外两间大型加密钱包服务商 Trezor、KeepKey 就已传出用户数据资料遭骇，当时据称是电商巨头 Shopify 系统漏洞所导致。

　　Ledger 也于今年七月底发表文章，坦言确实遭骇客入侵，并有近 100 万名个资遭窃取。许多用户认为，就是因为 Ledger 团队当时没有积极处理，导致现在情况失控，因此相当的不满。

　　其中，推特用户 Ryan Olah 更于 Ledger 推文下留言回应，直言若有律师考虑提集体诉讼，会有很多人举双手赞成。他忧心表示：“现在情况已经恶化一万倍了”。 (责任编辑：admin)